The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Включение DNS-over-HTTPS на системном уровне в KDE neon и Ubuntu
В этой заметке я не буду объяснять, почему предпочтительно использовать
DNS-over-HTTPS (DoH), а просто опишу, как его можно включить на системном
уровне в KDE neon / Ubuntu. Внимание: не забывайте делать резервные копии
системных файлов, которые планируете редактировать!

Для начала необходимо установить пакет dnscrypt-proxy:

   sudo apt install dnscrypt-proxy

Далее в файле /etc/dnscrypt-proxy/dnscrypt-proxy.toml в поле
server_names нужно указать список серверов, к которым будет
обращаться dnscrypt-proxy для разрешения DNS
(список доступных DoH-серверов здесь). После редактирования файла
dnscrypt-proxy.toml нужно перезапустить dnscrypt-proxy:

   sudo systemctl restart dnscrypt-proxy.service

Далее нужно запретить NetworkManager изменять файл /etc/resolv.conf.
Для этого нужно в файле /etc/NetworkManager/NetworkManager.conf в
секции main добавить запись rc-manager=unmanaged. Должно
выглядеть так:

   [main]
   ...
   rc-manager=unmanaged
   ...

Далее нужно отредактировать файл /etc/resolv.conf. Для начала удалим текущий файл:

   sudo rm /etc/resolv.conf

И создадим новый:

   sudo touch /etc/resolv.conf

С таким содержимым:

   nameserver 127.0.2.1
   options edns0 single-request-reopen

И последнее, что нам нужно сделать - перезапустить systemd-resolved
и NetworkManager:

   sudo systemctl restart systemd-resolved.service
   sudo systemctl restart NetworkManager.service
 
27.04.2021 , Автор: popov895
Ключи: doh, dns, https, ubuntu, kde, neon, tls / Лицензия: CC-BY
Раздел:    Корень / Администратору / Сетевые сервисы / DNS

Обсуждение [ Линейный режим | Показать все | RSS ]
  • 1.1, Никитушкин Андрей (?), 12:51, 28/04/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Для безопасности, в продолжение данной статьи, необходимо ещё правильно настроить файрволл, чтобы исключить входящие соединения от этой проги. Не знаю, как в Ubuntu, а в Debian, Devuan я делал коммит об исправлении отсутствующей директории для сохранения списка обновлений списка доступных серверов для данного пакета. Если об этом в статье нет упоминания, то, думаю, это исправили и в Ubuntu, а не только в Debian, Devuan.
     
     
  • 2.2, Аноним (2), 14:16, 28/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А можно попоброьнее про входящие соединения и отсутствующую директорию?
     

  • 1.3, Аноним (3), 20:56, 28/04/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Блин. боюсь к этим сетевым настройкам прикасаться, как не прикоснусь интернет пропадает, хех.
    Ещё такое дело ВПН лазит эти файлы изменять. Наверное не для каждого этот путь настройки универсален.
     
     
  • 2.4, Аноним (2), 10:34, 29/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Делайте резервные копии файлов, которые будете редактировать - если что, потом восстановите. На крайний случай, можно потренировать на live image или в виртуалке.
     
  • 2.16, Аноним (16), 19:36, 14/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > боюсь к этим сетевым настройкам прикасаться




    sudo apt install virtualbox


    Или отсюда взять: https://www.virtualbox.org/wiki/Linux_Downloads

    В интерфейсе есть конпка - сделать снэпшот.
    Прямо на горячую снепшотишь, ставишь эксперимент, откатываешь, если ошибся.

    Для других применений нужно знать, что для отката снепшота нужно свободного места на диске размера в снепшот (размера в накопленные изменения, AFAIR). Но изменения от редактирования пары текстовых файлов минимальны, так что не проблема.

    Ну и снепшот на горячую включает в себя оперативную память, что занимает место. Но ведь можно и выключать виртуальную машину для снэпа.

     

  • 1.5, pridurok (?), 21:24, 29/04/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    если просто накатить пакет то это будет работать через протокол dnscypt, а не doh.
    чтобы работало только через doh надо включать в список публичные резолверы, которые его поддерживают если нужен только doh то это нужно дополнительно в конфиге dnscrypt-proxy.toml найти соотвествющие строчки dnscrypt_servers и doh_servers и переключить их в соотвествии с вашими предпочтениями
     
     
  • 2.6, Аноним (2), 22:59, 29/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Кстати, да, про указание именно DoH-серверов нужно уточнить. Спасибо за подсказку!
     

  • 1.7, КО (?), 06:42, 01/05/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Конечно перенаправлять весь трафик через левые сервера намного безопаснее, чем трястись над возможностью MiTM-атаки.
     
     
  • 2.8, Аноним (2), 10:44, 01/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Это вопрос доверия. На крайний случай, можно поднять свой сервер.
     
  • 2.9, gomerjober (?), 14:11, 01/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    это какие "левые"? cloudflare, google, yandex, adguard, продолжать перечислять "левых"?
    а так да можно свой слёгкостью поднять за пару минут на арендованой vps'ке:
    https://hub.docker.com/r/jedisct1/dnscrypt-server
     
     
  • 3.11, Аноним (11), 01:21, 04/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Образок-то откуда? Васян собрал? Надо всё делать самому, коли речь идёт об информационной безопасности.
     
     
  • 4.17, Аноним (16), 19:40, 14/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Образок-то откуда? Васян собрал? Надо всё делать самому, коли речь идёт об
    > информационной безопасности.

    В составе образа идёт как его собирали. Скопируй, собери сам. Это легко и недолго. Ну или - https://github.com/jedisct1/encrypted-dns-server

     

  • 1.10, Мейдей (?), 19:11, 02/05/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    У яндекса есть DOH? Чтобы как у клаудфларе было: https://1.1.1.1/dns-query только днс адрес яндекса был. Если нет, фиг ли не запилят?
     
     
  • 2.15, vasyan (?), 14:01, 09/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    у яндекса только dnscrypt и тот старой первой версии
     

  • 1.13, Аноним (13), 18:47, 05/05/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    а разве в systemd-resolved нет поддержки DoT? https://wiki.archlinux.org/title/Systemd-resolved#DNS_over_TLS Или DoH чем-то лучше?
     
     
  • 2.14, Аноним (14), 11:34, 06/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    https://www.cloudflare.com/learning/dns/dns-over-tls/
     

  • 1.23, ммнюмнюмус (?), 18:45, 23/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Что-то у меня совсем несварение. Перепутал dnsproxy с dnscrypt-proxy.
    И всё-таки, я правильно понимаю, что яндекс не основным проектом занимается, а собственным форком, который субя по удалённым постам должен быть старее?
     
  • 1.24, Аноним (24), 05:11, 27/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Юзаю Dns Over TLS от гугл и cloudflare, там оверхед меньше
     


     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:




    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру