Mỗi ngày, máy tính của bạn gửi hàng nghìn truy vấn DNS tới Internet. Trong hầu hết các trường hợp, hệ điều hành của bạn không bảo vệ các truy vấn này và việc sử dụng nhầm người có kiến thức phù hợp có thể xâm phạm quyền riêng tư của bạn.
Trước đây, trong newsblog.pl, tôi đã nói về DNSCrypt. Đây là một cách tuyệt vời để có được bảo vệ quyền riêng tư DNS. Tuy nhiên, đây không phải là giải pháp duy nhất có sẵn. Hóa ra, một tùy chọn khác là gửi DNS qua TLS.
Phương pháp 1 – Mập mạp
Stubby là một chương trình đơn giản hoạt động trên một số bản phân phối Linux cho phép người dùng gửi các truy vấn DNS qua TLS.
Stubby hoạt động trên Ubuntu Linux, Debian Linux và Arch Linux. Để cài đặt công cụ này, hãy khởi chạy cửa sổ đầu cuối bằng cách nhấn Ctrl + Alt + T hoặc Ctrl + Shift + T trên bàn phím. Sau đó làm theo hướng dẫn dòng lệnh tương ứng với hệ điều hành Linux hiện tại của bạn.
Ubuntu
Để cài đặt Stubby trên Ubuntu, trước tiên bạn phải kích hoạt kho phần mềm “Universe” của Ubuntu. Để thực hiện việc này, hãy sử dụng lệnh apt-add-repository trong cửa sổ đầu cuối.
sudo add-apt-repository universe
Sau khi chạy lệnh add-apt-repository, đã đến lúc sử dụng công cụ cập nhật để Ubuntu kiểm tra các bản cập nhật phần mềm. Nó cũng sẽ tải thông tin phiên bản xuống nguồn phần mềm Universe và thêm nó vào hệ thống của bạn.
sudo apt update
Khi lệnh cập nhật hoàn tất, hãy sử dụng lệnh cài đặt Apt để cài đặt Stubby trên hệ điều hành Ubuntu Linux của bạn.
sudo apt install stubby
Debian
Trên Debian, đối với phiên bản 10, tiện ích Stubby “Sid” có thể được tìm thấy trong kho phần mềm “Chính”. Để cài đặt nó, hãy khởi chạy một cửa sổ đầu cuối và sử dụng lệnh Apt-get bên dưới.
sudo apt-get install stubby
Vòm Linux
Người dùng Arch Linux có thể cài đặt Stubby nếu họ đã thiết lập kho lưu trữ phần mềm “Cộng đồng”. Để thiết lập tính năng này, hãy chỉnh sửa /etc/pacman.conf, cuộn đến cuối tệp, xóa ký hiệu # phía trước “Cộng đồng” và cập nhật hệ thống của bạn.
Sau khi “Cộng đồng” được thiết lập, hãy cài đặt ứng dụng Stubby bằng trình quản lý gói Pacman.
sudo pacman -S stubby
Giờ đây, ứng dụng Stubby đã được thiết lập, không cần sửa đổi bất kỳ tệp cấu hình nào vì Stubby được cài đặt sẵn các dịch vụ DNS tuyệt vời hỗ trợ TLS.
Lưu ý: nếu bạn muốn thay đổi dịch vụ DNS, hãy chỉnh sửa /etc/stubby/stubby.yml.
Bước cuối cùng trong việc định cấu hình DNS qua TLS với Stubby là thay đổi cài đặt DNS mặc định từ bất kỳ địa chỉ nào bạn hiện đang sử dụng thành địa chỉ 127.0.0.1.
Việc thay đổi cài đặt DNS khác nhau tùy thuộc vào môi trường máy tính để bàn Linux mà bạn sử dụng, vì vậy chúng tôi sẽ không đề cập đến vấn đề đó trong bài đăng này. Thay vào đó, hãy xem hướng dẫn của chúng tôi về cách thay đổi cài đặt DNS của bạn để biết thêm thông tin.
Khi cài đặt DNS được thay đổi thành 127.0.0.1PC Linux của bạn nên sử dụng DNS qua TLS!
Phương pháp 2 – Giải pháp hệ thống
Mặc dù công cụ Stubby rất dễ cài đặt và giúp việc gửi DNS qua TLS trên Linux trở nên khá đơn giản, nhưng tiếc là nó không hoạt động trên mọi bản phân phối.
Một giải pháp thay thế tuyệt vời cho Stubby để định cấu hình DNS qua TLS trên Linux là sử dụng bộ nhớ đệm DNS phân giải Systemd. Lý do chính cho điều này là nó được tích hợp sẵn trong hệ thống khởi tạo Systemd mà hầu hết các hệ điều hành Linux đã sử dụng và nó rất dễ sử dụng. Tuy nhiên, xin lưu ý rằng trước khi định cấu hình Systemd-resolved cho DNS qua TLS, bạn phải tắt hệ thống bộ đệm ẩn DNS mà bạn hiện đang sử dụng để chuyển sang Systemd-resolved.
Để thiết lập hệ thống được Systemd nhận dạng, hãy khởi chạy thiết bị đầu cuối dòng lệnh bằng cách nhấn Ctrl + Alt + T hoặc Ctrl + Shift + T trên bàn phím. Sau đó sử dụng lệnh systemctl để vô hiệu hóa hệ thống DNS cache đang sử dụng.
Lưu ý: Nếu bạn không sử dụng DNS Masq hoặc NSCD, có thể bạn đang sử dụng Systemd-resolved và không cần tắt bất kỳ thứ gì.
Mặt nạ DNS
sudo systemctl stop dnsmasq.service
sudo systemctl disable dnsmasq.service -f
NSCĐ
sudo systemctl stop nscd.service -f sudo systemctl disable nscd.service -f
Bây giờ bạn đã tắt nhà cung cấp DNS mặc định trên PC Linux của mình, đã đến lúc chuyển sang giải pháp Systemd. Để thực hiện việc này, hãy sử dụng lại lệnh systemctl.
sudo systemctl enable systemd-resolved.service -f sudo systemctl start systemd-resolved.service
Với công cụ được kích hoạt qua Systemd, chúng tôi có thể định cấu hình chương trình để sử dụng DNS qua TLS. Để bắt đầu, hãy chạy tệp cấu hình công cụ trong Nano.
sudo nano -w /etc/systemd/resolved.conf
Chỉnh sửa tệp Resolved.conf bằng Nano và cuộn xuống DNS=.
Sau dấu =, hãy thêm máy chủ DNS bảo mật có hỗ trợ TLS, chẳng hạn như máy chủ DNS riêng của CloudFlare. Nó sẽ giống như thế này:
DNS=1.1.1.1
Sau đó vào Domains= và thay đổi nó giống như mã bên dưới.
Tên miền = ~.
Sau “Miền”, cuộn xuống DNSOverTLS= và thay đổi nó thành mã giống như bên dưới.
DNSOverTLS = cơ hội
Lưu các thay đổi vào Resolved.conf bằng cách nhấn Ctrl + O, sau đó thoát bằng Ctrl + X và khởi động lại DNS để bật DNS qua TLS với Systemd-resolved!
sudo systemctl restart systemd-resolved
