はじめに
DNS over HTTPS (DoH)は、ユーザーのデジタルプライバシーを保護するために使用される技術で、DNSクエリーが暗号化され、第三者から監視や改ざんを受けないようにします。これは特に、公共のWi-Fiネットワークや信頼性の低いISPを通じてインターネットにアクセスする際には重要です。
症状・背景
このテーマが必要になる主な場面:
- プライバシー保護: 公共場所でインターネットを使う場合
- セキュリティ強化: DNSフィッシングやDNSスpoofingのリスクを軽減する必要があるとき
- 匿名性向上: 信頼できないISPを通じてインターネットにアクセスする場合
- 最新技術への対応: 最新のセキュリティ要件に対応するために
手順・設定方法
ステップ1: DoHクライアントのインストール
# apt-get を使用したパッケージ管理で、cryptography と DNS-over-HTTPS のクライアントをインストールします
sudo apt-get update
sudo apt-get install systemd-resolved-dohステップ2: DoHプロバイダーの設定
# /etc/systemd/resolved.conf ファイルを開き、DoH エンジンの設定を行います
sudo nano /etc/systemd/resolved.conf
[Resolve]
DNSSEC=allow-downgrade
# DNSSEC=chain-only に変更する場合も可能です。ただし、すべてのレゾラーバーが適切な証明書を提供している必要があります。ステップ3: DoHプロバイダーの追加
# /etc/systemd/resolved.conf.d/ ディレクトリに新しい設定ファイルを作成します。例では Cloudflare の DNS-over-HTTPS サーバーを使用します
sudo nano /etc/systemd/resolved.conf.d/cloudflare-doh.conf
[Resolve]
DNSOverHttpsServers="https://1.1.1.1/dns-query"ステップ4: 状態の更新と再起動
# resolved ドΗエンジンを再起動します
sudo systemctl restart systemd-resolved.service注意事項
- デバイス全体への適用: この設定はLinuxサーバー全体に適用されます。個別のユーザーまたはサービスには別途設定が必要となる場合があります。
- DNSSECの有効化: DNSSECが有効な場合、DoHクライアントはリダイレクトを検証します。
- プロバイダー選択: セキュリティとプライバシーに重点を置くなら、CloudflareやQuad9などの信頼性の高いサービスを使用することをお勧めします。
- パフォーマンス影響: DoHは暗号化が必要なため、DNSリクエストの速度が若干低下することがあります。
まとめ
1. インストール: systemd-resolved-doh パッケージをインストールします
2. 設定ファイル編集: /etc/systemd/resolved.conf と /etc/systemd/resolved.conf.d/ ファイルでDoHプロバイダーの設定を行います
3. 設定追加: Cloudflare の DNS-over-HTTPS サーバーを追加します
4. 再起動: systemd-resolved.service を再起動して設定を有効にします
関連記事: