Vlákno názorů k článku Evoluce DNS v Linuxu aneb od resolv.conf k systemd-resolved od Vladki - A umí to aspoň DNSsec, DoT, DoH ? Jinak...

A umí to aspoň DNSsec, DoT, DoH ?

Jinak jak to tady čtu tak je to docela chaos. Článek říká že to umí spoustu zajímavých a užitečných věcí ale nic jsem se nedozvěděl.

To už mi přijde lepší resolvconf (nevim jestli je specifický pro debian nebo ne), jakožto manager obsahu resolv.conf. Zaregistruje konfiguraci dle síťovek a podle daný priorit přepíše resolv.conf.

Nahodim VPN dá tam to co si řekne VPN. Vypnu ji, vrátí tam to co mám na eth/wifi. Zapnu lokálního binda/unbound/dns­masq, dá mi tam localhost.

RTFM ;-)

Tak to tady ten článek nemusel vůbec být když si mam podle Vás všechno najít v manuálu.

Prijit s komentarem typu "mam tu obskurdni kombinaci a chci tu po vas vymyslet reseni" take neni zcela koser ;-) Clanek se venuje beznym use-case, ktere pokryvaji vetsinu beznych situaci.

A ako spravite, ked nahodite vpn, aby vam vsetko islo na povodny dns a iba intranet.moja­firma.cz cez vpn?

Aha, nespravite.

to ale přesně jde udělat ;)

Cez systemd-resolved. Nie cez cisty /etc/resolv.conf

DNSsec i DNS-over-TLS to umí.

DoH je navíc stejně většinou pitomost. Je to vhodný maximálně v sítích které blokují či jinak zasahují do provozu na portu 53 a 853. V režimu ve kterém to používají prohlížeče kdy odesílají všechny dotazy na konkrétní "prověřenou" službu třetí strany to může být pro soukromí dokonce škodlivější než nešifrované DNS-over-UDP/TCP (port 53). Na portu 53 se totiž agreguje a jsou po cestě používané cache. Je tak těžší si spojit dotaz s osobou konkrétního člověka než u DoH kde to je možné až na úrovni konkrétní aplikace.

DNSsec v systemd-resolved používat lze a lze i vynutit. Ale pak nastává v sítích které používají jako DNS cache routery od společnosti Mikrotik. Jejich implementace DNS totiž stripuje DNSsec podpisy a to pak DNSsec klient vyhodnotí (oprávněně) jako útok. Výsledkem v takové síti nefunkční DNS. Je pak potřeba si do /etc/hosts přidat minimálně VPN koncentrátor a používat v takové síti VPN. Bohužel Mikrotik není jediný kdo takto blbě zasahuje do DNS záznamů. Windows nemají schopnost DNSsec ověřovat a tak se nepředpokládá že by to u klientů mělo vadit.

Co já vím, tak DNSSEC v systemd-resolved je lepší vypnout.

Oni prostě nemají čas to naimplementovat pořádně a pak to dělá víc škody než užitku. Jednak ten "allow-downgrade" mód je výborný způsob, jak vzít to špatné z obou stran (s DNSSEC a bez). Plus různé nepříjemné bugy, namátkou třeba https://github.com/systemd/systemd/issues/35126#issuecomment-2469907990

Zmíněný bug je vlastnost Fedory která ve výchozím stavu vypíná SHA1 a další algoritmy. Je potřeba si to přečíst celé než si na tom postavíte názor.

K tomu doporučení DNSSEC vypnout: Ano způsobuje to občas problémy u domén které mají rozbité podpisy, používají nebezpečné algoritmy podpisu a v sítích které zasahují do DNS záznamů. Každopádně reakce DNSSEC validujícího resolveru je správná - nesedí to, je to útok, zahoď odpověď.

Kde typicky nastávají problémy jsou vládní weby méně rozvinutých států, některé hotelové Wi-Fi, sítě které jsou postaveny na Mikrotiku (v roli DNS resolveru) a sítě využívající některé chybné implementace DNS64 které odebírají DNSSEC podpisy (mj. Cisco).

Ne. RFC definují chování pro nepodporované algoritmy. Dle issue to systemd-resolved dělá "po svém". Já jinak jsem zastáncem DNSSEC, ale podle standardů.