Kuidas häälestada kohalikku DNS-i vahemäluse serverit Linuxis?

DNS-otsingud pole tavaliselt asi, mille pärast peate muretsema. Vahel peaks!


Kui teie kodu või kontori ISP-l on aeglased nimeserverid või kui teie server teeb palju otsinguid, vajate kohalikku vahemällu salvestatud DNS-serverit.

Kuidas vahemällu salvestatud DNS-server mind aitab??

Vahemällu salvestatud DNS-server töötab kõigi teie süsteemi tehtud DNS-päringute tegemisega ja tulemuste salvestamisega või vahemällu salvestamisega mällu. Kui tulemused on vahemällu salvestatud igal ajal, kui esitate domeeni duplikaadi taotluse, kuvatakse tulemused mälust peaaegu kohe.

See ei pruugi tunduda liiga oluline, kuid kui teie Interneti-teenuse pakkuja DNS-serverid reageerimisele aega võtavad, aeglustab see teie Interneti-sirvimist märkimisväärselt. Näiteks peab USA uudistekanali MSNBC avaleht korrektseks laadimiseks ühendust võtma üle 100 unikaalse domeeninimega. Kui teie Interneti-teenuse pakkuja nimeserveritel kulub vastamiseks isegi kümnendiksekundist tavalisest kauem, tähendab see, et lehe laadimine võtab 10 sekundit kauem aega.

Kohalik vahemällu salvestatud DNS-server ei aita ainult teie kodus või kontoris, vaid ka teie serveris. Kui teil on rakendus, mis teeb palju DNS-i otsinguid, näiteks hõivatud e-posti server, mis töötab rämpsposti tõkestamise tarkvaraga, saab see kohalikust vahemällu salvestatud DNS-serverist kiiruse suurenemise.

Lõpuks toetab süsteemidega lahendatud uusimaid turvalisi DNS-standardeid DNSSEC ja DNSoverTLS või TEE. Need aitavad hoida teid turvalisena ja säilitada privaatsust võrgus.

Millist kohalikku vahemälu DNS-i kasutame??

Kohalik vahemällu salvestatud DNS-server, mille me selles juhendis lubame ja konfigureerime, on süsteemiga lahendatud. See tööriist on osa programmist süsteemne süsteemihaldusriistade komplekt. Kui teie süsteem kasutab süsteemi, ja peaaegu kõik peamised Linuxi distributsioonid on olemas, on teil juba süsteemide lahendatud installitud, kuid mitte töötav. Enamik jaotusi ei kasuta süsteemide abil lahendatud lahendusi, isegi kui see on olemas.

süsteemi lahendatud lahendus töötab väikese kohaliku vahemällu salvestatud DNS-serveri käivitamisega, mille konfigureerime käivitamiseks. Seejärel konfigureerime ülejäänud süsteemi uuesti, et suunata nende DNS-i päringud lokaalsesse vahemällu süsteemi lahendatud DNS-i.

Kuidas kontrollida, kas kasutate juba süsteemis lahendatud lahendusi?

Mõned Linuxi distributsioonid kasutavad juba vaikimisi süsteemide abil lahendatud lahendusi, näiteks Ubuntu 19.04.

Kui kasutate juba süsteemi lahendatud lahendusi, ei pea te seda lubama ega oma süsteemi seda kasutamiseks konfigureerima. Võimalik, et peate siiski tagama, et võrguhaldusriistad, näiteks NetworkManager, on õigesti konfigureeritud, kuna need eiravad süsteemi võrguseadistusi.

Enne järgmise jaotise juurde liikumist käivitage järgmine käsk, et kontrollida, kas teil on juba süsteemi lahendatud:

$ resolctl olek

Kui saate teate:

$ resolctl olek
Globaalsete andmete hankimine ebaõnnestus: ühikut dbus-org.freedesktop.resolve1.service ei leitud.

Sa oled mitte töötab süsteemi lahendatud ja peaks liikuma järgmisse jaotisse. Kui selle asemel näete väljundit, mis algab umbes järgmisega:

Globaalne
LLMNR-i säte: jah
MulticastDNS seade: jah
DNSOverTLS-i säte: oportunistlik
DNSSEC-i säte: lubab alandada
DNSSEC toetab: ei
Praegune DNS-server: 1.1.1.1
DNS-serverid: 1.1.1.1
1.0.0.1

Siis käitate juba süsteemis lahendatud süsteemi ja te ei pea seda lubama.

Süsteemide lahendamise lubamine ja konfigureerimine

Me ei pea installima süsteemi lahendatud lahendusi, kuna see on juba süsteemi osa. Peame vaid käivitama selle, et DNS-i vahemälluserver töötaks, ja võimaldama siis selle käivitamiseks käivitada.

Käivitage järgmine käsk kestaviirast, kuna sudo võimaldas mitte-juurkasutajal käivitada süsteemi lahendatud:

$ sudo systemctl käivitage systemd-resolved.service

Järgmisena käivitage järgmine käsk, et käivitada süsteemi alglaadimisel süsteemiga lahendatud lahendus:

$ sudo systemctl võimaldab systemd-resolved.service

Viimane allesjäänud konfiguratsioonielement on DNS-serverite seadistamine, mille süsteemis lahendatud päringud lahendatakse domeenidele. Siin on palju võimalusi, kuid üks järgmistest paaridest on tasuta, kiire ja mõlemad toetavad DNSSEC-i ja DoT-i:

Google’i avalik DNS

  • 8.8.8.8
  • 8.8.4.4

Cloudflare avalik DNS

  • 1.1.1.1
  • 1.0.0.1

Avage peamine süsteemis lahendatud konfiguratsioonifail oma lemmiktekstiredaktoriga, siin olen kasutanud nano:

$ sudo nano /etc/systemd/resolved.conf

Redigeerimine algab

# DNS =

Nii et paar IP-aadressi on loetletud. Siin näidatakse Cloudflare’i DNS-servereid:

DNS = 1.1.1.1 1.0.0.1

Salvestage ja väljuge tekstiredaktorist. Nüüd peame taaskäivitama süsteemis lahendatud, et see hakkaks nimeservereid kasutama:

$ sudo systemctl taaskäivitage systemd-resolved.service

systemd-lahendatud töötab nüüd ja on valmis alustama kiirendamist ja DNS-päringute turvamist niipea, kui oleme konfigureerinud süsteemi kasutama seda.

Süsteemi konfigureerimine kasutamiseks süsteemilahendusega

Teie süsteemi saab süsteemide abil lahendatud viisil konfigureerida mitmel viisil, kuid vaatleme kahte konfiguratsiooni, mis hõlmavad enamikku kasutusjuhtumeid. Esimene on soovitatav konfiguratsioon ja teine ​​ühilduvuskonfiguratsioon. Nende kahe erinevus seisneb selles, kuidas faili /etc/resolv.conf hallatakse.

Fail /etc/resolv.conf sisaldab nende nimeserverite IP-aadresse, mida süsteemiprogrammid peaksid pärima. Programmid, mis peavad DNS-i päringuid tegema, otsivad seda faili, et teada saada, milliste serveritega peaksid nende päringute tegemiseks ühendust võtma.

Kaks süsteemis lahendatud režiimi keskenduvad selle faili sisu haldamisele. Soovitatud režiimis tehakse /etc/resolv.conf sümbol link /run/systemd/resolve/stub-resolv.conf. Seda faili haldab süsteemi lahendatud süsteem ja seetõttu haldab süsteemi süsteem lahendatud kõigi teiste süsteemiprogrammide DNS-i konfiguratsiooniteavet.

See võib põhjustada probleeme, kui teised programmid proovivad /etc/resolv.conf sisu hallata. Ühilduvusrežiim jätab /etc/resolv.conf paigale, võimaldades teistel programmidel seda hallata, kuni süsteemid lahendavad seda DNS-i teavet. Selles režiimis peavad teised /etc/resolv.confit haldavad programmid olema konfigureeritud seadistama 127.0.0.53 süsteemi nimeserveriks kataloogis /etc/resolv.conf.

Soovitatava režiimi seadistamine

Selle režiimi konfigureerimisel haldab süsteemilahendusega süsteem lahendatud /etc/resolv.conf, tehes sellest sümboli lingile /run/systemd/resolve/stub-resolv.conf. Peame seda tegema käsitsi, kuna seda ei konfigureerita automaatselt.

Esiteks kustutage või nimetage olemasolev fail /etc/resolv.conf ümber. Ümbernimetamine on parem variant kustutamiseks, kuna sellel on sama mõju, kuid kui soovite selles sisalduvat teavet, võite alati viidata originaalile. Siin nimetame /etc/resolv.conf ümber, kasutades käsku mv:

$ sudo mv /etc/resolv.conf /etc/resolv.conf.original

Järgmisena looge link:

$ sudo ln -s /run/systemd/resolve/stub-resolv.conf /etc/resolv.conf

Lõpuks taaskäivitage süsteemi lahendatud:

$ sudo systemctl taaskäivitage systemd-resolved.service

Ühilduvusrežiimi seadistamine

Selles režiimis peate veenduma, et süsteemiteenused saavad päringu kohalikule nimeserverile, mille süsteemis lahendatud on käivitatud. Avage tekstiredaktoris /etc/resolv.conf, siin kasutatakse nano-redaktorit:

$ sudo nano /etc/resolv.conf

Kustutage kõik read, mis algavad tähega „nameserver”, ja lisage see rida:

nimeserver 127.0.0.53

Seda muudatust võib muuta mõni muu programm, mis haldab /etc/resolv.conf. Sel juhul peate konfigureerima need programmid kasutama seda nimeserverit redigeerimise püsivaks muutmiseks.

Süsteemi silumine on lahendatud

Pärast nende muudatuste tegemist saate täpselt teada saada, kuidas teie süsteem DNS-i päringuid teeb. Kõige tõhusam meetod toimuva vaatlemiseks on panna süsteemid lahendatud silumisrežiimi ja vaadata logifaili.

süsteemiga lahendatud on süsteemne teenus, mis tähendab, et selle saab hõlpsalt silumisrežiimi seada, luues rippmenüü teenuse faili, mis sisaldab silumisseadet. Järgmine käsk loob õige faili õiges kohas:

$ sudo systemctl redigeeri systemd-resolved.service

Kleebi järgmised read redaktorisse, siis salvesta ja välju:

[Teenus]
Keskkond = SYSTEMD_LOG_LEVEL = silumine

Eduka salvestamise ja väljumise korral laaditakse süsteemiga lahendatud teenus automaatselt uuesti.

Avage sama serveri jaoks teine ​​terminal ja järgige süsteemiga lahendatud teenuse ajakirja logi:

$ sudo journalctl -f -u systemd-lahendatud

Rida, mis algab sõnaga “DNS-serveri kasutamine”, nt:

DNS-serveri 1.1.1.1 kasutamine tehinguks 19995.

Teab täpselt, millist DNS-serverit DNS-päringute jaoks kasutatakse. Sel juhul päriti Cloudflare’i DNS-serverist punktis 1.1.1.1.

Ridade vahemälu puudumine näitab, et domeeninimi pole vahemällu salvestatud. Näide:

Vahemälu puudu näiteks saidil.com SOA-s

Ridad, mis algavad sõnaga „positiivne vahemälu saavutamine”, nt:

Positiivse vahemälu tabamus saidil example.com IN A

Märkige, et süsteemiga lahendatud on selle domeeni juba varem küsinud ja vastus edastati kohaliku mälu vahemälust.

Peaksite silumisrežiimi keelama, kui olete süsteemis lahendatud töö lõpetanud, kuna see loob hõivatud süsteemis väga suure logifaili. Silumise logimise saate keelata järgmiselt:

$ sudo systemctl redigeeri systemd-resolved.service

ja kustutades kaks rida, lisasite, seejärel salvestasite ja väljusite redaktorist.

Turvaliste DNS-i päringute kasutamine

süsteemiga lahendatud on üks väheseid, praegu saadaolevaid DNS-servereid, mis toetavad nii DNSSEC-i kui ka DNSoverTLS-i. Mõlemad need aitavad tagada, et saate ehtsat DNS-i teavet (DNSSEC) ja et keegi ei saa teie DNS-i liiklust nuusutada, kui see Interneti kaudu levib. (DoT).

Neid valikuid saab hõlpsalt lubada, avades süsteemirežiimis lahendatud peamise konfiguratsioonifaili tekstiredaktoriga:

$ sudo nano /etc/systemd/resolved.conf

Ja faili redigeerimine nii, et järgmised kaks rida oleks seatud:

DNSSEC = lubada alandamine
DNSOverTLS = oportunistlik

Salvestage ja väljuge redigeerijast, seejärel laadige süsteemis lahendatud uuesti:

$ sudo systemctl taaskäivitage systemd-resolved.service

Kuni teie määratud DNS-server toetab DNSSEC-i ja DoT-i, on teie DNS-päringud kaitstud. Google’i ja Cloudflare’i avalikud DNS-serverid toetavad neid protokolle.

Järeldus

Teie süsteem on nüüd konfigureeritud tegema kiiresti ja tõhusalt DNS-i päringuid ka siis, kui teie Interneti-teenuse pakkuja DNS-server ei reageeri nii kiiresti kui peaks. Lisaks on teie digitaalne elu turvalisem, kuna kasutate oma DNS-i päringute kaitsmiseks uusimaid turvalisi DNS-protokolle.

Kui olete Linuxi entusiast ja soovite rohkem teada saada, siis vaadake seda fantastilist veebikursus.

Sildid:

  • Linux

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map