Unbound ist ein rekursiver, validierender, sehr sicherer DNS-Caching-Server, der kostenlos unter der BSD-Lizenz vertrieben wird. Unbound unterstützt DNS-over-TLS und DNS-over-HTTPS, um die Online-Privatsphäre zu erhöhen, indem es Clients ermöglicht, ihre Verbindung zu verschlüsseln. Abhängig von Ihrer Netzwerkkonfiguration kann Unbound sowohl IPV4 als auch IPV6 unterstützen. Die Installation und Konfiguration von Unbound in Linux-Distributionen ist recht einfach und unkompliziert. Das Unbound-Paket ist in den meisten modernen Betriebssystemen verfügbar, einschließlich CentOS, Ubuntu, Fedora. Unternehmen, die ihre eigene Domain verwenden, um Anwendungen oder Websites intern bereitzustellen, können unbound als DNS-Server verwenden.
Hier bei LinuxAPT helfen wir unseren Kunden im Rahmen unserer Server Management Services regelmäßig bei der Durchführung verwandter Linux-Systemabfragen.
In diesem Zusammenhang werden wir untersuchen, wie man einen Unbound-Server in Ubuntu 20.04 installiert und konfiguriert.
Wie installiere ich einen ungebundenen Server in Ubuntu?
Um den Server für die ungebundene Namensauflösung in Ubuntu 20.04 zu installieren, führen Sie den folgenden Befehl aus:
$ sudo apt install unbound -y
Führen Sie außerdem den folgenden Befehl aus, um zusätzliche Pakete zu installieren, mit denen wir die DNS-Serverkonfigurationen überprüfen
$ sudo apt install bind-utils net-tools -y
Nachdem die Installation abgeschlossen ist, kann der Inhalt der Konfigurationsdatei mit dem folgenden Befehl gefunden werden:
$ cat /etc/unbound/unbound.conf
Hier sehen Sie, dass alle .conf-Dateien aus dem Verzeichnis unbound.conf.d geladen werden.
Als nächstes erstellen wir eine neue Konfigurationsdatei im Verzeichnis /etc/unbound/unbound.conf.d.
Hier haben wir eine unbound_test.conf-Datei erstellt.
Öffnen Sie nun die Datei mit dem Texteditor und fügen Sie die folgende Beispielkonfiguration hinzu. Sie können die Parameter entsprechend ändern.
$ sudo nano /etc/unbound/unbound.conf.d/unbound_test.conf
server:
port: 53
verbosity: 0
num-threads: 2
outgoing-range: 512
num-queries-per-thread: 1024
msg-cache-size: 32m
interface: 127.0.0.1
interface: 192.168.5.5
rrset-cache-size: 64m
cache-max-ttl: 86400
infra-host-ttl: 60
infra-lame-ttl: 120
outgoing-interface: 192.168.0.2
access-control: 127.0.0.0/8 allow
access-control: 192.168.5.0/24 allow
username: unbound
directory: "/etc/unbound"
logfile: "/var/log/unbound.log"
use-syslog: no
hide-version: yes
so-rcvbuf: 4m
so-sndbuf: 4m
do-ip4: yes
do-ip6: no
do-udp: yes
do-tcp: yes
Erstellen Sie außerdem eine Protokolldatei und weisen Sie die Berechtigung zum Schreiben von Protokollen mit den folgenden Befehlen zu:
$ sudo touch /var/log/unbound.log
$ sudo chown unbound:unbound /var/log/unbound.log
Starten Sie den Unbound-Dienst neu und laden Sie die Konfiguration:
$ sudo service unbound restart
Verwenden Sie den folgenden Befehl, um den Dienst zu aktivieren:
$ sudo service unbound enable
Überprüfen Sie mit dem Befehl, ob der ungebundene Dienst ausgeführt wird oder nicht:
$ sudo service unbound status
Führen Sie den folgenden Befehl aus, um zu überprüfen, auf welchem Port unbound lauscht:
$ sudo netstat -anlpt | grep LIST
Die Ausgabe zeigt, dass der Unbound-Dienst auf Port 53 lauscht, um die Anfragen zu akzeptieren.
Bedingungen für die ungebundene Dienstkonfigurationsdatei
- port :Überwachungsport für Unbound.
- hide-version :Die Version von unbound. nicht anzeigen.
- use-syslog :Geben Sie an, ob Sie Protokolle in Syslog schreiben möchten.
- username :Benutzer, unter dem unbound läuft.
- Ausführlichkeit :Protokollebene, die von 0 bis 4 reicht, und 4 ist die Debug-Protokollebene.
- Schnittstelle:Schnittstellen, in denen ungebundene Anfragen abgehört werden.
- Ausgangsschnittstelle :Schnittstelle, über die das Internet kommt.
- num-threads :Anzahl der Threads , empfohlen, um die gleiche Anzahl von Prozessorkernen anzugeben.
Wie öffne ich den DNS-Port in der Firewall?
Nachdem die Konfigurationsdatei erstellt wurde, müssen Sie einen DNS-Port öffnen, damit Ihre lokalen LAN-Clients eine Verbindung zu Ihrem Unbound-Cache-Only-DNS-Server herstellen können:
$ sudo ufw allow from any to any port 53 proto tcp
$ sudo ufw allow from any to any port 53 proto udp
Führen Sie den folgenden Befehl aus, um die Firewall-Regel zu überprüfen:
$ sudo ufw status
Jetzt sind wir beim letzten Punkt angelangt, um unseren neuen Unbound-DNS-Server zu testen. Zum Testen können wir den Befehl dig verwenden, der mit dem zuvor installierten Paket bind-utils geliefert wird. Führen Sie einige DNS-Abfragen auf dem eigentlichen DNS-Server durch. Hier haben wir zum Testen kernel.org abgefragt:
$ dig kernel.org @localhost
Die Antwortzeit beträgt bei der ersten Abfrage 4 ms.
Da wir den Unbound DNS-Server konfiguriert haben, wird die Abfrage nun zwischengespeichert.
Um den DNS-Cache zu überprüfen, führen Sie die folgende Abfrage mit demselben Domänennamen aus:
$ dig kernel.org @localhost
Jetzt können Sie feststellen, dass die Abfragezeit 0 ms beträgt.
Wenn Sie die Konfiguration des ungebundenen DNS-Servers von LAN-Clients testen möchten, fragen Sie die DNS-Antwort ab, die auf die IP des ungebundenen DNS-Servers verweist. (In unserem Fall ist die IP des ungebundenen DNS-Servers 192.168.178.100):
$ dig kernel.org @192.168.178.100
Wie optimiert man ungebunden?
Die Standardkonfiguration von Unbound funktioniert gut für eingeschränkte Benutzer, aber falls eine große Anzahl von Benutzern bereitgestellt werden soll, müssen bestimmte Optimierungen vorgenommen werden.
Hier sind einige Optimierungsoptionen, die Sie implementieren können, um eine hohe Leistung zu erzielen:
- num-threads:Geben Sie dem System die gleiche Anzahl von CPU-Kernen, z. B. den Wert 4 für 2 CPUs mit jeweils 2 Kernen.
- so-reuseport:yes Unter Linux hilft dies, die UDP-Leistung zu verbessern.
- outgoing-range:Sie können den Wert je nach Anzahl der Kerne möglichst groß einstellen.
- so-sndbuf:Dieser Wert kann für einen ausgelasteten Server auf einen größeren Wert von 4m oder 8m gesetzt werden.
- Weitere Einzelheiten finden Sie unter https://nlnetlabs.nl/documentation/unbound/howto-optimise/.