RockyLinux DNS over HTTPS 设置详解（手把手教你配置安全加密的DNS解析）

什么是 DNS over HTTPS？

DNS over HTTPS（简称 DoH）是一种通过 HTTPS 协议加密 DNS 查询请求的技术。它能有效防止中间人攻击、DNS 劫持和用户行为追踪，提升网络通信的安全性和隐私性。

为什么要在 RockyLinux 上启用 DoH？

RockyLinux 是一个企业级、稳定且开源的 Linux 发行版，广泛用于服务器和工作站环境。在其上启用 RockyLinux DNS over HTTPS 可以：

• 防止本地网络中的 DNS 监听或污染
• 增强终端设备的隐私保护能力
• 满足企业对网络安全合规性的要求

准备工作

在开始之前，请确保你的 RockyLinux 系统满足以下条件：

• 系统版本为 RockyLinux 8 或 9
• 具有 root 权限或 sudo 权限
• 网络连接正常，可访问互联网

方法一：使用 systemd-resolved 配置 DoH（推荐）

从 RockyLinux 8 开始，系统默认集成了 systemd-resolved 服务，它原生支持 DoH。以下是具体配置步骤：

1. 启用并启动 systemd-resolved 服务

sudo systemctl enable --now systemd-resolved  

2. 编辑 resolved.conf 配置文件

使用你喜欢的编辑器（如 nano 或 vim）打开配置文件：

sudo nano /etc/systemd/resolved.conf  

在文件中添加或修改以下内容（以 Cloudflare 的 DoH 服务为例）：

[Resolve]DNS=1.1.1.1#cloudflare-dns.comFallbackDNS=8.8.8.8#dns.googleDomains=~.DNSOverTLS=yes  

说明：

• 1.1.1.1#cloudflare-dns.com 表示使用 Cloudflare 的 DoH 服务
• 8.8.8.8#dns.google 是 Google 的 DoH 备用地址
• Domains=~. 表示对所有域名都使用此 DNS
• DNSOverTLS=yes 启用加密（虽然名为 TLS，但在 DoH 场景下也适用）

3. 重启服务并验证配置

sudo systemctl restart systemd-resolvedresolvectl status  

在输出中，你应该能看到类似以下内容：

Link 2 (eth0)    Current Scopes: DNS         Protocols: +DefaultRoute +LLMNR -mDNS -DNSOverTLS DNSSEC=no/unsupported        DNS Servers: 1.1.1.1#cloudflare-dns.com  

方法二：使用 Stubby（适用于高级用户）

如果你希望使用更专业的 DoH/DoT 客户端，可以安装 stubby。不过对于大多数用户，推荐使用上述 systemd-resolved 方法。

常见问题排查

• 无法解析域名？ 检查防火墙是否放行 443 端口（DoH 使用 HTTPS 端口）
• 配置未生效？ 确保没有其他 DNS 服务（如 NetworkManager）覆盖了设置
• 想测试 DoH 是否工作？ 可使用在线工具如 Cloudflare Help 检测

总结

通过本文的详细教程，你应该已经成功在 RockyLinux 系统上配置了 DNS over HTTPS。这不仅提升了系统的网络安全等级，也保护了你的隐私不被泄露。无论你是系统管理员还是普通用户，启用 RockyLinux安全DNS 都是一个值得推荐的最佳实践。

如果你觉得这篇 DoH配置教程 对你有帮助，欢迎分享给更多需要的朋友！