Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Раздел полезных советов: Включение DNS-over-HTTPS на системном уровне в KDE neon и Ubuntu"	+1 +/–
Сообщение от auto_tips (?), 28-Апр-21, 12:51
В этой заметке я не буду объяснять, [[https://www.google.com/search?channel=fs&client=ubuntu&q=why... почему]] предпочтительно использовать DNS-over-HTTPS (DoH), а просто опишу, как его можно включить на системном уровне в KDE neon / Ubuntu. []Внимание: не забывайте делать резервные копии системных файлов, которые планируете редактировать![] Для начала необходимо установить пакет []dnscrypt-proxy[]:    sudo apt install dnscrypt-proxy Далее в файле []/etc/dnscrypt-proxy/dnscrypt-proxy.toml[] в поле []server_names[] нужно указать список серверов, к которым будет обращаться dnscrypt-proxy для разрешения DNS. Также можно это поле закомментировать, в этом случае dnscrypt-proxy автоматически будет использовать самый быстрый сервер. Более детально об этом можно прочесть [[https://wiki.archlinux.org/index.php/Dnscrypt-proxy#Select_r... здесь]]. После редактирования файла []dnscrypt-proxy.toml[] нужно перезапустить dnscrypt-proxy:    sudo systemctl restart dnscrypt-proxy.service Далее нужно запретить NetworkManager изменять файл []/etc/resolv.conf[]. Для этого нужно в файле []/etc/NetworkManager/NetworkManager.conf[] в секции []main[] добавить запись []rc-manager=unmanaged[]. Должно выглядеть так:    [main]    ...    rc-manager=unmanaged    ... Далее нужно отредактировать файл []/etc/resolv.conf[]. Для начала удалим текущий файл:    sudo rm /etc/resolv.conf И создадим новый:    sudo touch /etc/resolv.conf С таким содержимым:    nameserver 127.0.2.1    options edns0 single-request-reopen И последнее, что нам нужно сделать - перезапустить []systemd-resolved[] и []NetworkManager[]:    sudo systemctl restart systemd-resolved.service    sudo systemctl restart NetworkManager.service URL: Обсуждается: http://www.opennet.me/tips/info/3182.shtml
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Никитушкин Андрей (?), 28-Апр-21, 12:51	+/–
Для безопасности, в продолжение данной статьи, необходимо ещё правильно настроить файрволл, чтобы исключить входящие соединения от этой проги. Не знаю, как в Ubuntu, а в Debian, Devuan я делал коммит об исправлении отсутствующей директории для сохранения списка обновлений списка доступных серверов для данного пакета. Если об этом в статье нет упоминания, то, думаю, это исправили и в Ubuntu, а не только в Debian, Devuan.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #2

2. Сообщение от Аноним (2), 28-Апр-21, 14:16	+/–
А можно попоброьнее про входящие соединения и отсутствующую директорию?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

3. Сообщение от Аноним (3), 28-Апр-21, 20:56	+/–
Блин. боюсь к этим сетевым настройкам прикасаться, как не прикоснусь интернет пропадает, хех. Ещё такое дело ВПН лазит эти файлы изменять. Наверное не для каждого этот путь настройки универсален.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #4, #16

4. Сообщение от Аноним (2), 29-Апр-21, 10:34	+1 +/–
Делайте резервные копии файлов, которые будете редактировать - если что, потом восстановите. На крайний случай, можно потренировать на live image или в виртуалке.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

5. Сообщение от pridurok (?), 29-Апр-21, 21:24	+/–
если просто накатить пакет то это будет работать через протокол dnscypt, а не doh. чтобы работало только через doh надо включать в список публичные резолверы, которые его поддерживают если нужен только doh то это нужно дополнительно в конфиге dnscrypt-proxy.toml найти соотвествющие строчки dnscrypt_servers и doh_servers и переключить их в соотвествии с вашими предпочтениями
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #6

6. Сообщение от Аноним (2), 29-Апр-21, 22:59	+/–
Кстати, да, про указание именно DoH-серверов нужно уточнить. Спасибо за подсказку!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

7. Сообщение от КО (?), 01-Май-21, 06:42	+/–
Конечно перенаправлять весь трафик через левые сервера намного безопаснее, чем трястись над возможностью MiTM-атаки.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #8, #9

8. Сообщение от Аноним (2), 01-Май-21, 10:44	+/–
Это вопрос доверия. На крайний случай, можно поднять свой сервер.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

9. Сообщение от gomerjober (?), 01-Май-21, 14:11	+/–
это какие "левые"? cloudflare, google, yandex, adguard, продолжать перечислять "левых"? а так да можно свой слёгкостью поднять за пару минут на арендованой vps'ке: https://hub.docker.com/r/jedisct1/dnscrypt-server
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #11

10. Сообщение от Мейдей (?), 02-Май-21, 19:11	+/–
У яндекса есть DOH? Чтобы как у клаудфларе было: https://1.1.1.1/dns-query только днс адрес яндекса был. Если нет, фиг ли не запилят?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #15, #25

11. Сообщение от Аноним (11), 04-Май-21, 01:21	+/–
Образок-то откуда? Васян собрал? Надо всё делать самому, коли речь идёт об информационной безопасности.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #17

13. Сообщение от Аноним (13), 05-Май-21, 18:47	+/–
а разве в systemd-resolved нет поддержки DoT? https://wiki.archlinux.org/title/Systemd-resolved#DNS_over_TLS Или DoH чем-то лучше?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #14

14. Сообщение от Аноним (14), 06-Май-21, 11:34	+/–
https://www.cloudflare.com/learning/dns/dns-over-tls/
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

15. Сообщение от vasyan (?), 09-Май-21, 14:01	+/–
у яндекса только dnscrypt и тот старой первой версии
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

16. Сообщение от Аноним (16), 14-Май-21, 19:36	+/–
> боюсь к этим сетевым настройкам прикасаться sudo apt install virtualbox Или отсюда взять: https://www.virtualbox.org/wiki/Linux_Downloads В интерфейсе есть конпка - сделать снэпшот. Прямо на горячую снепшотишь, ставишь эксперимент, откатываешь, если ошибся. Для других применений нужно знать, что для отката снепшота нужно свободного места на диске размера в снепшот (размера в накопленные изменения, AFAIR). Но изменения от редактирования пары текстовых файлов минимальны, так что не проблема. Ну и снепшот на горячую включает в себя оперативную память, что занимает место. Но ведь можно и выключать виртуальную машину для снэпа.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

17. Сообщение от Аноним (16), 14-Май-21, 19:40	+/–
> Образок-то откуда? Васян собрал? Надо всё делать самому, коли речь идёт об > информационной безопасности. В составе образа идёт как его собирали. Скопируй, собери сам. Это легко и недолго. Ну или - https://github.com/jedisct1/encrypted-dns-server
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

23. Сообщение от ммнюмнюмус (?), 23-Июн-21, 18:45	+/–
Что-то у меня совсем несварение. Перепутал dnsproxy с dnscrypt-proxy. И всё-таки, я правильно понимаю, что яндекс не основным проектом занимается, а собственным форком, который субя по удалённым постам должен быть старее?
Ответить | Правка | Наверх | Cообщить модератору

24. Сообщение от Аноним (24), 27-Июн-21, 05:11	+/–
Юзаю Dns Over TLS от гугл и cloudflare, там оверхед меньше
Ответить | Правка | Наверх | Cообщить модератору

25. Сообщение от Аноним (25), 16-Июл-25, 20:47	+/–
А зачем? Запреты можешь и без DoH потерпеть
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема