CentOS DNS over TLS（DoT）配置详解：提升网络隐私与安全的完整教程

准备工作

• 一台运行 CentOS 7/8/9 的服务器或桌面系统（本文以 CentOS 7 为例）
• root 权限或具有 sudo 权限的用户
• 确保系统已联网并可访问公共 DNS over TLS 服务（如 Cloudflare、Google）

步骤一：安装 Stubby（轻量级 DoT 客户端）

Stubby 是一个开源的 DNS over TLS 客户端，由 getdns 团队开发，支持自动加密 DNS 请求。我们首先需要启用 EPEL 仓库，然后安装 Stubby。

sudo yum install -y epel-releasesudo yum install -y stubby

步骤二：配置 Stubby

Stubby 的主配置文件位于 /etc/stubby/stubby.yml。我们将修改该文件以指定可信的 DoT 服务器。

使用你喜欢的编辑器打开配置文件：

sudo vi /etc/stubby/stubby.yml

找到 upstream_recursive_servers: 部分，替换为以下内容（以 Cloudflare 为例）：

upstream_recursive_servers:  - address_data: 1.1.1.1    tls_auth_name: "cloudflare-dns.com"    tls_port: 853  - address_data: 1.0.0.1    tls_auth_name: "cloudflare-dns.com"    tls_port: 853

如果你更信任 Google 的 DoT 服务，也可以使用：

upstream_recursive_servers:  - address_data: 8.8.8.8    tls_auth_name: "dns.google"    tls_port: 853  - address_data: 8.8.4.4    tls_auth_name: "dns.google"    tls_port: 853

步骤三：启动并启用 Stubby 服务

sudo systemctl start stubbysudo systemctl enable stubby

验证 Stubby 是否正常运行：

sudo systemctl status stubby

步骤四：配置系统使用本地 DoT 代理

Stubby 默认监听本地回环地址 127.0.0.1:53。我们需要将系统的 DNS 指向这个地址。

编辑 /etc/resolv.conf 文件：

nameserver 127.0.0.1

⚠️ 注意：某些系统（如使用 NetworkManager）可能会覆盖此文件。为防止被覆盖，可锁定该文件：

sudo chattr +i /etc/resolv.conf

若需修改，先执行 chattr -i /etc/resolv.conf 解锁。

步骤五：测试 DNS over TLS 是否生效

使用 dig 命令测试解析是否正常：

dig example.com @127.0.0.1

你也可以使用在线工具（如 DNSLeakTest）检查 DNS 请求是否通过加密通道发出。

总结

通过以上步骤，你已在 CentOS 系统成功部署了 DNS over TLS，实现了 DNS 查询的加密传输。这不仅增强了 CentOS安全DNS配置 能力，也为你在网络上的活动提供了更强的 隐私保护DNS设置。无论是个人用户还是企业环境，启用 DoT 都是提升网络安全的重要一步。

希望这篇 CentOS DNS over TLS 教程能帮助你轻松上手。如有疑问，欢迎在评论区交流！