Ubuntu DNS over HTTPS设置（手把手教你配置安全加密的DNS解析）

为什么要在Ubuntu上启用DoH？

• 防止ISP或公共Wi-Fi窃取你的浏览记录
• 绕过某些地区的DNS污染
• 提升整体网络通信安全性
• 符合现代操作系统对Ubuntu网络隐私保护的最佳实践

准备工作

本教程适用于Ubuntu 20.04及以上版本（包括22.04、24.04）。请确保你已具备以下条件：

• 拥有sudo权限的用户账户
• 系统已连接互联网
• 建议先备份重要配置文件

方法一：使用systemd-resolved配置DoH（推荐）

从Ubuntu 22.04开始，systemd-resolved原生支持DoH。我们以Cloudflare的DoH服务为例进行配置。

步骤1：编辑resolved配置文件

sudo nano /etc/systemd/resolved.conf

步骤2：在文件中添加或修改以下内容

[Resolve]DNS=1.1.1.1#cloudflare-dns.comFallbackDNS=8.8.8.8#dns.googleDomains=~.DNSOverTLS=yes

说明：
• 1.1.1.1#cloudflare-dns.com 表示使用Cloudflare的DoH服务
• 8.8.8.8#dns.google 是Google的备用DoH服务器
• DNSOverTLS=yes 启用加密传输（在较新版本中也支持DoH）

步骤3：重启服务并验证

sudo systemctl restart systemd-resolvedsudo resolvectl status

在输出中，你应该能看到类似 Server: 1.1.1.1#cloudflare-dns.com 的信息，表示DoH已生效。

方法二：使用Stubby（适用于旧版Ubuntu）

如果你使用的是Ubuntu 20.04或更早版本，可以安装第三方工具Stubby来实现DoH或DoT（DNS over TLS）。

安装Stubbly

sudo apt updatesudo apt install stubby -y

配置Stubbly使用Cloudflare DoH

sudo nano /etc/stubby/stubby.yml

找到 upstream_recursive_servers: 部分，替换为：

upstream_recursive_servers:  - address_data: 1.1.1.1    tls_auth_name: "cloudflare-dns.com"  - address_data: 1.0.0.1    tls_auth_name: "cloudflare-dns.com"

启动并设置开机自启

sudo systemctl enable --now stubby

配置系统使用本地DNS

编辑 /etc/resolv.conf 或通过NetworkManager设置DNS服务器为 127.0.0.1。

验证DoH是否生效

你可以使用以下命令测试DNS解析是否通过加密通道：

dig @127.0.0.1 example.com

此外，访问 https://1.1.1.1/help（Cloudflare提供的检测页面），如果显示“Using DNS over HTTPS (DoH)”，则说明配置成功！

常见问题与注意事项

• NetworkManager可能覆盖设置：建议在图形界面中将DNS手动设为127.0.0.1或禁用自动DNS。
• 防火墙限制：确保系统允许访问443端口（HTTPS）。
• 性能影响：DoH会略微增加首次解析延迟，但后续查询通常更快。
• 定期检查配置是否被系统更新覆盖。

结语

通过本文的详细步骤，你应该已经成功完成了Ubuntu DoH配置。这不仅提升了你的Ubuntu安全DNS能力，也为日常上网增加了隐私屏障。记住，网络安全始于细节，一个小小的DoH设置，就能为你筑起一道坚固的防线。

现在就动手试试吧！让你的Ubuntu系统更安全、更私密！