Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

4.5.11. 为连接提供域配置 DNSSEC 验证

默认情况下,带有正确名称服务器的转发区域由任何连接提供的每个域的 dnssec-trigger 自动添加到 unbound 中,但通过 NetworkManager 的 Wi-Fi 连接除外。默认情况下,添加到 unbound 中的所有转发区域都经过 DNSSEC 验证。
可以更改验证转发区域的默认行为,以便默认情况下不对所有转发区域进行 DNSSEC 验证。为此,请更改 dnssec-trigger 配置文件 /etc/dnssec.conf 中的 validate_connection_provided_zones 变量。以 root 用户身份,按如下所示打开并编辑行:
validate_connection_provided_zones=no
不会对现有转发区进行更改,但只适用于未来的转发区。因此,如果您要为当前提供的域禁用 DNSSEC,则需要重新连接。

4.5.11.1. 为 Wi-Fi 提供的域配置 DNSSEC 验证

可以启用为 Wi-Fi 提供的区域添加转发区。为此,请更改 dnssec-trigger 配置文件 /etc/dnssec.conf 中的 add_wifi_provided_zones 变量。以 root 用户身份,按如下所示打开并编辑行:
add_wifi_provided_zones=yes
不会对现有转发区进行更改,但只适用于未来的转发区。因此,如果您要为当前 Wi-Fi 提供的域启用 DNSSEC,则需要重新连接(重新启动) Wi-Fi 连接。
警告
开始添加 Wi-Fi 提供的域(如将区域转发到 unbound )可能会造成安全影响,例如:
  1. Wi-Fi 接入点可能会有意通过 DHCP 为您提供一个域,对其没有权威,并将您的所有 DNS 查询路由到其 DNS 服务器。
  2. 如果您已经关闭了转发区域的 DNSSEC 验证,则 Wi-Fi 提供的 DNS 服务器可能会欺骗来自提供的域的域名的 IP 地址,而无需您知道它。