The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Раздел полезных советов: Включение DNS-over-HTTPS на системном уровне в KDE neon и Ubuntu"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Раздел полезных советов: Включение DNS-over-HTTPS на системном уровне в KDE neon и Ubuntu"  +/
Сообщение от auto_tips (?), 28-Апр-21, 12:51 
В этой заметке я не буду объяснять, [[https://www.google.com/search?channel=fs&client=ubuntu&q=why... почему]] предпочтительно использовать DNS-over-HTTPS (DoH), а просто опишу, как его можно включить на системном уровне в KDE neon / Ubuntu. []Внимание: не забывайте делать резервные копии системных файлов, которые планируете редактировать![]

Для начала необходимо установить пакет []dnscrypt-proxy[]:

   sudo apt install dnscrypt-proxy

Далее в файле []/etc/dnscrypt-proxy/dnscrypt-proxy.toml[] в поле []server_names[] нужно указать список серверов, к которым будет обращаться dnscrypt-proxy для разрешения DNS. Также можно это поле закомментировать, в этом случае dnscrypt-proxy автоматически будет использовать самый быстрый сервер. Более детально об этом можно прочесть [[https://wiki.archlinux.org/index.php/Dnscrypt-proxy#Select_r... здесь]]. После редактирования файла []dnscrypt-proxy.toml[] нужно перезапустить dnscrypt-proxy:

   sudo systemctl restart dnscrypt-proxy.service

Далее нужно запретить NetworkManager изменять файл []/etc/resolv.conf[]. Для этого нужно в файле []/etc/NetworkManager/NetworkManager.conf[] в секции []main[] добавить запись []rc-manager=unmanaged[]. Должно выглядеть так:

   [main]
   ...
   rc-manager=unmanaged
   ...

Далее нужно отредактировать файл []/etc/resolv.conf[]. Для начала удалим текущий файл:

   sudo rm /etc/resolv.conf

И создадим новый:

   sudo touch /etc/resolv.conf

С таким содержимым:

   nameserver 127.0.2.1
   options edns0 single-request-reopen

И последнее, что нам нужно сделать - перезапустить []systemd-resolved[] и []NetworkManager[]:

   sudo systemctl restart systemd-resolved.service
   sudo systemctl restart NetworkManager.service

URL:
Обсуждается: https://www.opennet.ru/tips/info/3182.shtml

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от Никитушкин Андрейemail (?), 28-Апр-21, 12:51   +/
Для безопасности, в продолжение данной статьи, необходимо ещё правильно настроить файрволл, чтобы исключить входящие соединения от этой проги. Не знаю, как в Ubuntu, а в Debian, Devuan я делал коммит об исправлении отсутствующей директории для сохранения списка обновлений списка доступных серверов для данного пакета. Если об этом в статье нет упоминания, то, думаю, это исправили и в Ubuntu, а не только в Debian, Devuan.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #2

2. Сообщение от Аноним (2), 28-Апр-21, 14:16   +/
А можно попоброьнее про входящие соединения и отсутствующую директорию?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

3. Сообщение от Аноним (3), 28-Апр-21, 20:56   +/
Блин. боюсь к этим сетевым настройкам прикасаться, как не прикоснусь интернет пропадает, хех.
Ещё такое дело ВПН лазит эти файлы изменять. Наверное не для каждого этот путь настройки универсален.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #4, #16

4. Сообщение от Аноним (2), 29-Апр-21, 10:34   +/
Делайте резервные копии файлов, которые будете редактировать - если что, потом восстановите. На крайний случай, можно потренировать на live image или в виртуалке.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

5. Сообщение от pridurok (?), 29-Апр-21, 21:24   +/
если просто накатить пакет то это будет работать через протокол dnscypt, а не doh.
чтобы работало только через doh надо включать в список публичные резолверы, которые его поддерживают если нужен только doh то это нужно дополнительно в конфиге dnscrypt-proxy.toml найти соотвествющие строчки dnscrypt_servers и doh_servers и переключить их в соотвествии с вашими предпочтениями
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #6

6. Сообщение от Аноним (2), 29-Апр-21, 22:59   +/
Кстати, да, про указание именно DoH-серверов нужно уточнить. Спасибо за подсказку!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

7. Сообщение от КО (?), 01-Май-21, 06:42   +/
Конечно перенаправлять весь трафик через левые сервера намного безопаснее, чем трястись над возможностью MiTM-атаки.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #8, #9

8. Сообщение от Аноним (2), 01-Май-21, 10:44   +/
Это вопрос доверия. На крайний случай, можно поднять свой сервер.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

9. Сообщение от gomerjober (?), 01-Май-21, 14:11   +/
это какие "левые"? cloudflare, google, yandex, adguard, продолжать перечислять "левых"?
а так да можно свой слёгкостью поднять за пару минут на арендованой vps'ке:
https://hub.docker.com/r/jedisct1/dnscrypt-server
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #11

10. Сообщение от Мейдей (?), 02-Май-21, 19:11   +/
У яндекса есть DOH? Чтобы как у клаудфларе было: https://1.1.1.1/dns-query только днс адрес яндекса был. Если нет, фиг ли не запилят?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #15

11. Сообщение от Аноним (11), 04-Май-21, 01:21   +/
Образок-то откуда? Васян собрал? Надо всё делать самому, коли речь идёт об информационной безопасности.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #17

13. Сообщение от Аноним (13), 05-Май-21, 18:47   +/
а разве в systemd-resolved нет поддержки DoT? https://wiki.archlinux.org/title/Systemd-resolved#DNS_over_TLS Или DoH чем-то лучше?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #14

14. Сообщение от Аноним (14), 06-Май-21, 11:34   +/
https://www.cloudflare.com/learning/dns/dns-over-tls/
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

15. Сообщение от vasyan (?), 09-Май-21, 14:01   +/
у яндекса только dnscrypt и тот старой первой версии
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

16. Сообщение от Аноним (16), 14-Май-21, 19:36   +/
> боюсь к этим сетевым настройкам прикасаться


sudo apt install virtualbox

Или отсюда взять: https://www.virtualbox.org/wiki/Linux_Downloads

В интерфейсе есть конпка - сделать снэпшот.
Прямо на горячую снепшотишь, ставишь эксперимент, откатываешь, если ошибся.

Для других применений нужно знать, что для отката снепшота нужно свободного места на диске размера в снепшот (размера в накопленные изменения, AFAIR). Но изменения от редактирования пары текстовых файлов минимальны, так что не проблема.

Ну и снепшот на горячую включает в себя оперативную память, что занимает место. Но ведь можно и выключать виртуальную машину для снэпа.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

17. Сообщение от Аноним (16), 14-Май-21, 19:40   +/
> Образок-то откуда? Васян собрал? Надо всё делать самому, коли речь идёт об
> информационной безопасности.

В составе образа идёт как его собирали. Скопируй, собери сам. Это легко и недолго. Ну или - https://github.com/jedisct1/encrypted-dns-server

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Ideco
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру