Захист resolv.conf від DHCP у FreeBSD 10

Якщо ви використовуєте свій власний роздільник або хочете використовувати його від стороннього постачальника, ви можете виявити, що ваш /etc/resolv.confфайл перезаписується DHCP. Існує кілька способів вирішення цієї проблеми. Оскільки ви, швидше за все, захочете перезавантажитися, щоб переконатися, що ваші зміни залишилися, і оскільки ви збираєтеся в першу чергу використовувати мережеві налаштування, я наполегливо пропоную зробити це на тестовому екземплярі та/або поза піком годин.

Отже, ось три методи, від гіршого до найкращого. Зауважте, що всі методи в цьому посібнику були написані для FreeBSD 10. Користувачі Linux можуть звернутися до цього посібника .

Спосіб 1. Використовуйте статичні налаштування інтерфейсу

У моєму обмеженому тестуванні це призводить до дещо пришвидшого часу завантаження, оскільки вам не доведеться чекати, поки DHCP призначить ваші налаштування мережі. Однак у кількох документах Vultr я бачив згадку про те, що використання статичних налаштувань інтерфейсу неприйнятно і що вам слід дотримуватися DHCP. Я припускаю, що у них є вагомі причини для цього, і тому я продовжував використовувати DHCP сам. Проте, якщо ви вирішите піти цим шляхом, виконайте наведені нижче дії.

• Визначте IP-адресу сервера, маску мережі та IP-адресу шлюзу.
• Змініть, /etc/rc.confщоб використовувати ці значення замість DHCP.
• Перезавантажтеся, щоб перевірити налаштування.

Визначте IP/маску мережі/шлюз

Припускаючи, що ваш інтерфейс - vtnet0, виконайте наступне:

ifconfig vtnet0 | grep inet

Це має отримати IP-адресу та мережеву маску для вашого сервера:

inet 10.10.10.10 netmask 0xffffff00 broadcast 10.10.10.255

FreeBSD любить використовувати hex для маски мережі. Наведене вище перетворюється на, 255.255.255.0якщо вам цікаво. Ви можете знайти зручний столик тут , але не бійтеся: ви можете просто скопіювати шістнадцятковий адресу в ваш конфігураційний файл (або перетворити його в десяткове , якщо ви віддаєте перевагу).

Ви можете знайти шлюз кількома способами. Ось один:

route get default | grep gateway поверне щось на зразок:

gateway: 10.10.10.1

Змінити за /etc/rc.confдопомогою нових значень

Озброївшись IP-адресою, мережевою маскою та шлюзом, настав час додати їх до конфігурації системи. Я настійно рекомендую створити резервну копію цього файлу, перш ніж вносити будь-які зміни, оскільки це значно полегшить скасування, якщо ви зіпсуєтеся. Тепер відкрийте /etc/rc.confв обраному редакторі та внесіть такі зміни:

# Comment out this line:
# ifconfig_vtnet0="dhcp"

# Add these lines:
defaultrouter="10.10.10.1"
ifconfig_vtnet0="inet 10.10.10.10 netmask 0xffffff00"

Очевидно, ви повинні обов’язково замінити свій фактичний IP, маску мережі та шлюз на мої очевидні підробки.

Перезавантажте та протестуйте

Перезавантажте сервер за допомогою shutdown -r nowта переконайтеся, що він відновився належним чином. Виконайте всі тести, які вважаєте необхідними, щоб переконатися, що все працює належним чином. Якщо мережа недоступна, увійдіть через консоль і поверніть зміни. Якщо все в порядку, на цьому етапі ви можете вкладати все, що вам заманеться, resolv.confне боячись, що це буде знищено.

Якщо з будь-якої причини ви не можете перезавантажитися, це має спрацювати, але я справді зробив би належне перезавантаження на вашому місці:

service netif restart && service routing restart

Спосіб 2: зробити resolv.confнезмінним

Це трохи хитрість, але це найшвидше рішення. Я не рекомендую його, тому що не можу гарантувати, що це не викличе дивацтва в майбутньому, коли ви оновите операційну систему до нової версії, і dhclient, ймовірно, буде скаржитися. Тим не менш, просто chflags schg /etc/resolv.conf– це все, що потрібно. Тепер файл повністю захищений від запису, навіть із root. Перевірити можна так:

vultr [~]# chflags schg /etc/resolv.conf
vultr [~]# ls -ol /etc/resolv.conf
-rw-r--r--  1 root  wheel  schg 50 Nov 29 06:28 /etc/resolv.conf
vultr [~]# echo "so very untouchable" >> /etc/resolv.conf
/etc/resolv.conf: Operation not permitted.

Скасувати за допомогою: chflags noschg /etc/resolv.conf

Спосіб 3: чемно скажіть FreeBSD залишити ваші налаштування в спокої

Це, безумовно, найчистіший і найправильніший спосіб зробити це. Ви можете застосувати два підходи:

Налаштувати dhclient

Давайте візьмемо приклад згори і скажемо, що все, що ви хочете зробити, це встановити свій власний сервер імен resolv.confі не хочете втрачати його щоразу, коли DHCP робить свою справу. У моєму випадку я хочу використовувати встановлений мною розпізнаватель кешування, який прослуховує локальний хост, тому я редагую /etc/dhclient.conf(який, ймовірно, буде порожнім, крім коментарів) і додаю наступне:

interface "vtnet0" {
    supersede domain-name-servers 127.0.0.1;
}

Це дозволить dhclient робити все, що вам потрібно, але коли сервер DHCP надішле йому список серверів імен для використання, ваш замінить (наприклад, повністю замінить) ті, які він пропонує. Якщо ви бажаєте доповнити (а не замінити) запропоновані, ви можете "додати" або "попередити" замість "замінити", відповідно.

До речі, якщо вам потрібно більше одного користувацького сервера, вкажіть їх так:

supersede domain-name-servers 127.0.0.1, 127.0.0.2;

Після внесення змін перезапустіть, dhclientщоб вони набули чинності негайно:

service dhclient restart vtnet0

Перевірте свій, /etc/resolv.confі ви побачите, що тепер у ньому є власний(і) сервер(и) імен.

На момент написання цієї статті сервери імен — це єдине, що DHCP-сервер Vultr коли-небудь поміщав у мій файл resolv.conf, і єдине, що я хотів налаштувати. Однак, якщо вам коли-небудь знадобиться змінити будь-які інші налаштування, зверніться до чудового посібника, щоб отримати вичерпний список:

man 5 dhclient.conf

Унизу є чудові приклади, які повинні дати вам уявлення про те, що ви можете зробити. Я можу уявити, що ви можете додати щось на кшталт, supersede domain-name "example.com";якщо у вас зазвичай є така лінія у вашому файлі resolv.conf. Знову ж таки, зверніться до документів.

Налаштувати resolvconf

Це найпростіше рішення, якщо ви просто хочете, resolv.confщоб вас залишили на самоті. Згідно з інструкцією:

resolvconf manages resolv.conf(5) files from multiple sources, such as DHCP and VPN clients

Його конфігурація знаходиться в /etc/resolvconf.conf, який, ймовірно, не існує у вашій системі, тому не соромтеся створювати його. Щоб зробити свій resolv.confнезмінним, додайте це:

# prevent all updates to resolv.conf:
resolv_conf="/dev/null"

Якщо ви використовуєте unboundяк локальний резольвер кешування, це рядок, який він додає (разом із кількома для себе). По суті, це вводить resolvconfв оману думку, що ви /etc/resolv.confперебуваєте за адресою /dev/null. Щось трохи менш зловмисне, але настільки ж ефективне, було б:

# disable resolvconf from running any subscribers:
resolvconf="NO"

Якщо ви хочете зробити що - то більш складне , ніж просто вимикаючи його, людина сторінок для resolvconfі resolvconf.confє багато інформації.