RockyLinux DNS安全扩展配置（手把手教你开启DNSSEC保护你的域名解析）

什么是 DNSSEC？

DNSSEC 是一种通过数字签名验证 DNS 响应真实性的安全机制。它不会加密数据，但能确保你访问的网站地址没有被篡改。简单来说，就像给 DNS 查询加了一把“防伪锁”。

在 RockyLinux 中启用 DNSSEC，通常需要配合支持 DNSSEC 的 DNS 服务器（如 BIND 或 Unbound）。本教程以 Unbound 为例进行演示，因其轻量、安全且默认支持 DNSSEC 验证。

准备工作

• 一台已安装 RockyLinux 8 或 9 的服务器
• 具有 sudo 权限的用户账户
• 网络连接正常

步骤一：安装 Unbound

首先，更新系统并安装 Unbound：

sudo dnf update -ysudo dnf install unbound -y

步骤二：配置 Unbound 启用 DNSSEC

Unbound 默认已启用 DNSSEC 验证，但为了确保配置正确，我们手动检查其主配置文件：

sudo nano /etc/unbound/unbound.conf

在配置文件中，确认以下关键选项已启用（若不存在则添加）：

# 启用 DNSSEC 验证module-config: "validator iterator"# 自动下载并更新信任锚（Trust Anchors）trust-anchor-file: "/var/lib/unbound/root.key"# 允许本地查询access-control: 127.0.0.1/32 allowaccess-control: ::1 allow# 监听本地回环地址interface: 127.0.0.1interface: ::1

保存并退出编辑器（在 nano 中按 Ctrl+O → 回车 → Ctrl+X）。

步骤三：初始化信任锚（Trust Anchor）

运行以下命令下载根区的信任锚，这是 DNSSEC 验证的起点：

sudo unbound-anchor -a "/var/lib/unbound/root.key"

该命令会从 IANA 官方服务器获取最新的根密钥，并存储在指定路径。

步骤四：启动并启用 Unbound 服务

sudo systemctl enable --now unboundsudo systemctl status unbound

如果状态显示 “active (running)”，说明服务已成功启动。

步骤五：配置系统使用 Unbound 作为本地 DNS 解析器

编辑 /etc/resolv.conf 文件，将 nameserver 指向本地：

nameserver 127.0.0.1

注意：某些系统使用 NetworkManager 或 systemd-resolved 管理 DNS，可能会覆盖 /etc/resolv.conf。建议通过 NetworkManager 设置 DNS 为 127.0.0.1，或禁用 systemd-resolved 以避免冲突。

步骤六：测试 DNSSEC 是否生效

使用 dig 命令测试一个支持 DNSSEC 的域名（如 cloudflare.com）：

dig +dnssec cloudflare.com @127.0.0.1

在返回结果中，查找 ad（Authenticated Data）标志：

;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 12345;; flags: qr rd ra ad; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

如果看到 ad 标志，说明 DNSSEC 验证成功！

总结

通过以上步骤，你已在 RockyLinux 上成功配置了 DNS安全扩展（DNSSEC），显著提升了 DNS 查询的安全性。无论你是系统管理员还是普通用户，启用 DNSSEC 都是保护网络通信的重要一步。

记住，安全不是一次性的设置，而是持续的过程。定期更新系统、监控日志、关注安全公告，才能让你的服务器始终处于防护之中。

希望这篇 Rocky Linux DNS安全 教程对你有所帮助！如果你有任何疑问，欢迎在评论区留言交流。