我正在尝试实现三个简单的目标(在我们的 CentOS8 服务器上)......
起初我直接选择了dnsmasq,因为这似乎是大多数人在我的研究中使用的。这是一个简单的安装,我很快就能启动并运行它。 #1 - 检查
然后我继续DNSSEC并最终发现我只需要将以下内容添加到我的dnsmasq.conf...
conf-file=/usr/share/dnsmasq/trust-anchors.conf
dnssec
dnssec-check-unsigned
一切看起来都很好,#2 - 检查
dnsforwarder最后我开始了解DNSoverTLS ,并开始了解bind. 似乎如果不在链中安装另一个链接(例如 )stubby,它就不是本机支持的东西。 #3 - 软失败
我想要尽可能简单/易于维护的解决方案,即更少的移动部件,所以我开始考虑它,BIND9因为它是事实上的标准,但在这样做的过程中,我还发现systemd-resolved它已经安装并且似乎支持我的所有三个要求。#1,2,3 - 检查
我的问题是,根据我的三个要求,为什么我不使用systemd-resolved,使用其他两种方法之一的现实世界差异或好处是什么?我看到了一些人对 的憎恨systemd-resolved,但这只是因为它由于可能存在 MITM 向量而并不真正安全,但从我所看到的情况来看,这个问题已经得到了处理。
我试图找到比较这三者的细节,但一切都是关于bind和 的dnsmasq,令人惊讶的是,除了 的参考手册之外很难找到任何东西systemd-resolved。
谢谢。
编辑:所以你对情况有了更好的了解,服务器的使用率很低,邮件服务,一些文件同步,轻量的网络任务,通常< 5个用户,也许偶尔会有机器人/白痴试图随机渗透它,唯一需要注意的是,将会有很多这样的实例,所有这些实例都作为集中编排的独立单租户系统独立运行......所以我正在寻找一个简单但功能强大的 DNS 系统,它提供现代隐私和安全功能,如 DNSSEC 和点。
我并不反对一种包含更多部件的解决方案,但我只是在寻找一种理由(如果有这样做的理由)。
也就是说,我刚刚意识到 CentOS8 被困在 systemd v239 上,并且根据文档,完全工作的 DoT 直到 …