18.04:仿生海狸:强制执行静态/etc/ Bionic

Question

以前，在Ubuntu16.04上，当Ubuntu更新安装了dnsmasq包，配置它，并赋予它优先于我自己的超级稳定、超快和自己配置的绑定DNS服务器时，我感到被背叛了。就好像Ubuntu入侵了我的工作站。

由于我碰巧是一个系统管理员，这是非常不可接受的。这是个疯狂的电话。这是当您对一个问题进行故障排除时，在您的一个步骤中使用dig或nslookup时，您会惊讶地看到lo接口正在回复您。惊慌

是否有办法不仅解决这个问题，而且保证/etc/resolv.conf将被篡改证明？

Answer 1

对/etc/NetworkManager/NetworkManager.conf的简单编辑和禁用systemd-resolved.service(如这个答案https://askubuntu.com/a/907249/719422)。但这一点虽然必不可少，但并不能保证resolv.conf能够防篡改。

要真正实施静态/etc/resolv.conf (您知道它将在任何类型的重启中幸存下来)，您需要将不可变属性设置为它。除了上面提到的Bastian的答案之外，您还可以这样做: SuperUser：

echo nameserver 8.8.8.8 > /etc/resolv.conf
chattr -e /etc/resolv.conf
chattr +i /etc/resolv.conf

将...changing nameserver设置为所选值。这样，您就可以拥有一个非常静态的/etc/resolv.conf。

Answer 2

根据文档，您可以将resolv.conf写入/usr/lib/systemd/resolv.conf，这是一个可以从/etc/resolv.conf链接的静态文件。不应该重写。

sudo ln -sf /usr/lib/systemd/resolv.conf /etc/resolv.conf

http://manpages.ubuntu.com/manpages/bionic/man8/systemd-resolved.service.8.html#contenttoc3

/ETC/RESOLV.CONF支持四种处理/etc/ Four模式(参见resolv.conf(5))：.提供了一个静态文件/usr/lib/systemd/rupv.conf，其中列出了127.0.0.53 DNS存根(见上文)，它仅作为DNS服务器。这个文件可以从/etc/rupv.conf中进行符号链接，以便将所有绕过本地DNS API的本地客户端连接到systemd解析中。此文件不包含任何搜索域。

Answer 3

我发现的最佳解决方案是防止NetworkManager更新/etc/ found，然后使用静态DNS服务器创建一个新的/etc/found文件。有关如何执行此操作，请参见https://www.ctrl.blog/entry/resolvconf-tutorial。