centos DNS over TLS部署

CentOS DNS over TLS 部署

在现代的互联网环境中，保护用户信息的安全已经成为了一项高度重视的任务。它也变得异常重要，因为用户的信息在不断地被泄露。其中DNS是构建互联网的一个基础构建模块。传统的DNS查询假定这些查询和响应是通过一个不安全的明文信道发送的，这可能导致中间人攻击以及数据泄漏的风险。因此，配置使用DNS over TLS的DNS服务器可以解决这样的问题。

本文将介绍CentOS 7上如何安装和配置DNS over TLS服务器，以下是具体步骤：

步骤 1：安装Unbound DNS服务器

Unbound DNS是一个快速，适用于小型到中型站点的DNS解析器程序，并支持DNS over TLS。从官方源中安装它非常简单，输入以下命令即可：

```

sudo yum install unbound

```

完成安装后，您需要配置Unbound与DNS over TLS配合使用。

步骤 2：设置DNS over TLS

DNS over TLS提供了两种证书与私钥组合方法： 手动创建和配置，或使用Let’s Encrypt颁发的证书。我们将介绍两种方法：

- 手动创建和配置证书

使用您选择的证书颁发机构生成证书和私钥。

您需要通过以下命令来设置证书：

```

sudo mkdir /etc/unbound/ssl

sudo chmod 700 /etc/unbound/ssl

sudo openssl req -new -x509 -sha256 -days 365 -newkey rsa:2048 -nodes -keyout /etc/unbound/ssl/dns.key -out /etc/unbound/ssl/dns.crt

```

然后，您需要编辑/etc/unbound/unbound.conf文件来配置Unbound服务器。确保以下条目在是 /etc/unbound/unbound.conf 文件中存在：

```

server:

# Specifies the interface to listen on

interface: 0.0.0.0

# The IP address of the interface that Unbound listens for DNS queries on.

# Replace with the IP address of your server.

access-control: /32 allow

# Instructs Unbound to listen for DNS-over-TLS queries on the given

# IP address and port.

tls-service-key: "/etc/unbound/ssl/dns.key"

tls-service-pem: "/etc/unbound/ssl/dns.crt"

tls-port: 853

# The following three options are highly recommended to enhance Unbound's security.

tls-session-cache-size: 100m

tls-cert-bundle: /etc/ssl/certs/ca-certificates.crt

do-tcp: yes

```

- 使用Let's Encrypt颁发的证书

首先您需要安装 Certbot，Certbot 是 Let's Encrypt 官方出品的一个用于颁发和管理 SSL/TLS 证书的工具，输入以下命令安装 Certbot：

```

sudo -i

yum install certbot

```

安装完成后，您可以使用 Certbot 命令来为您的 Web 应用颁发 SSL/TLS 证书。例如，启用DNS over TLS域名的证书，如下所示：

```

sudo certbot certonly --standalone --preferred-challenges tls-sni -d example.com -d www.example.com

```

一旦证书生成，您需要将证书文件配置到Unbound服务器配置文件中。确保以下条目在是 /etc/unbound/unbound.conf 文件中存在：

```

server:

# Specifies the interface to listen on

interface: 0.0.0.0

# The IP address of the interface that Unbound listens for DNS queries on.

# Replace with the IP address of your server.

access-control: /32 allow

# Instructs Unbound to listen for DNS-over-TLS queries on the given

# IP address and port.

tls-cert-bundle: /etc/letsencrypt/live/example.com/fullchain.pem

tls-port: 853

# The following three options are highly recommended to enhance Unbound's security.

tls-session-cache-size: 100m

tls-cert-bundle: /etc/ssl/certs/ca-certificates.crt

do-tcp: yes

```

步骤 3：启动和测试DNS over TLS

通过下面的命令启动Unbound DNS服务器：

```

sudo systemctl start unbound

```

然后，您需要测试DNS over TLS是否已配置成功。在命令行中输入以下命令：

```

dig google.com @127.0.0.1 -p 853 +tcp +tls

```

如果DNS over TLS设置成功，则显示查询结果。