RockyLinux DNS合规性配置（手把手教你设置安全合规的DNS服务）

一、为什么需要DNS合规性配置？

不合规的 DNS 配置可能导致以下风险：

• DNS劫持：攻击者篡改解析结果，引导用户访问恶意网站。
• 信息泄露：未加密的 DNS 查询可能暴露用户浏览行为。
• 合规违规：某些行业（如金融、医疗）有明确的 DNS 安全审计要求。

因此，进行 RockyLinux网络安全 和 DNS服务器安全 配置是每个系统管理员的责任。

二、准备工作

本教程假设你已安装 RockyLinux 8 或 9，并拥有 root 权限。我们将使用 systemd-resolved 作为本地 DNS 解析器，并配置上游安全 DNS 服务器（如 Cloudflare 或 Google Public DNS）。

三、步骤详解：配置合规 DNS

1. 检查当前 DNS 配置

首先，查看当前系统使用的 DNS 服务器：

$ systemd-resolve --status  

或使用：

$ resolvectl status  

2. 启用并配置 systemd-resolved

确保 systemd-resolved 服务正在运行：

$ sudo systemctl enable --now systemd-resolved  

然后，编辑 NetworkManager 配置，使其使用本地解析器：

$ sudo ln -sf /run/systemd/resolve/resolv.conf /etc/resolv.conf  

3. 设置安全的上游 DNS 服务器

编辑 /etc/systemd/resolved.conf 文件：

$ sudo nano /etc/systemd/resolved.conf  

在文件中取消注释并修改如下内容（以 Cloudflare 安全 DNS 为例）：

[Resolve]DNS=1.1.1.1 1.0.0.1FallbackDNS=8.8.8.8 8.8.4.4Domains=~.DNSSEC=yesCache=yes  

说明：

• DNS=1.1.1.1 1.0.0.1：使用 Cloudflare 的 IPv4 DNS，支持 DoT/DoH。
• DNSSEC=yes：启用 DNSSEC 验证，防止 DNS 欺骗。
• Domains=~.：强制所有域名查询都通过指定 DNS。

4. 重启服务并验证

保存文件后，重启服务：

$ sudo systemctl restart systemd-resolved  

再次检查配置是否生效：

$ resolvectl status  

你应该看到 “DNS Servers” 显示为你配置的 IP 地址。

四、额外建议：增强 DNS 安全

• 启用 DNS over TLS (DoT)：可使用 stubby 或 dnscrypt-proxy 实现加密 DNS。
• 定期审计日志：检查 /var/log/messages 中是否有异常 DNS 请求。
• 防火墙限制：仅允许 53 端口与可信 DNS 服务器通信。

五、总结

通过以上步骤，你已经成功完成了 RockyLinux DNS合规性配置。这不仅提升了系统的 DNS服务器安全，也满足了基本的 RockyLinux网络安全 要求。无论你是个人用户还是企业运维人员，这样的配置都能有效防范常见 DNS 攻击。

记住，安全不是一次性的任务，而是持续的过程。建议定期更新系统并关注 DNS 安全最佳实践。