Debian 12 und die resolv.conf

[Henning]

Guten Morgen zusammen,

der ein oder andere wird ja mittlerweile schon Server auf Debian 12 betreiben. Während es bei Debian 11 ja noch recht einfach war, die Datei resolv.conf zu löschen und damit den SymLink zu entfernen, die Datei neu anzulegen und händisch zu befüllen, ist es unter Debian 12 anders geworden.

Ich möchte gerne wissen, wie ihr (sofern denn nötig) Änderungen an der resolv.conf unter Debian 12 vorgenommen habt und welche Werte in dieser Datei für euch wichtig sind. Es gibt ja unterschiedlichste Anleitungen dazu im Netz, aber ich bin verunsichert, was der vernünftige und gute Weg ist.

Am häufigsten erscheint die Lösung, die Datei zu demaskieren, zu editieren und danach wieder zu maskieren, um andere Prozesse davon abzuhalten, diese nachträglich wieder zu ändern.

Ich freue mich über eure Ratschläge und mögliche Lösungsansätze.

[tab-kh]

Da gibt es sicher viele Ansätze, die Frage ist, was du erreichen willst. In der Datei /etc/systemd/resolved.conf kann man verschiedne Modi und Parameter einstellen und auch die Resolver ändern. Je nach den Einstellungen dort muss dann auch der Symlink /etc/resolv.conf geändert werden.
Die manual pages systemd-resolved(8) und resolved.conf(5) geben einiges an weiteren Infos zum Thema.

[Henning]

Vielen Dank für deine Antwort.

Die Datei /etc/systemd/resolved.conf exisitert bei mir nicht, da bei mir bisher der Dienst nicht installiert ist. Ebenso auch nicht resolvconf und Co. Bei mir existiert praktisch nur eine maskierte /etc/resolv.conf, die mit Nameservern von Netcup gefüllt waren. Da wir wissen, wie die auflösen, ist Abhilfe zu schaffen.

Mir geht es also im Endeffekt nur um eine einfach und solide sowie sichere Auflösung. Mein praktischer Ansatz dazu sieht momentan mit Google so aus:

domain nieland.io
nameserver 8.8.8.8
nameserver 8.8.4.4
nameserver 2001:4860:4860::8888
nameserver 2001:4860:4860::8844
options edns0 trust-ad
search .

Ist so etwas noch zu "tunen", fehlt dort etwas wichtiges oder ist grundsätzlich was zu ergänzen?

Mir geht es mit diesem Beitrag auch nur darum, dass sicherlich viele ihren eigenen kleinen Server betreiben und sich über das Thema und mögliche Lösungsansätze freuen.

[24unix]

nameserver 8.8.8.8
nameserver 8.8.4.4

Ich resolve selber, ausgerechnet Google würde ich ja nun nicht nehmen.

[Henning]

Hallo Micha,

danke für deine Antwort. Nicht mehr und nicht weniger? Ist das zuviel, was bei mir mit eingetragen ist?

[24unix]

Hallo Micha,

danke für deine Antwort. Nicht mehr und nicht weniger? Ist das zuviel, was bei mir mit eingetragen ist?

Nein, das ist OK, wenn Google für Dich OK ist.
Nur die search Zeile ist überflüssig, weil keine domains angegeben.

Du könntest da

Code: Select all

search mydomain.tld

rein setzen.
Bedeute nur, wenn Du einen ping server1 machst, er auch server1.mydomain.tld sucht.

[Henning]

Alles klar, danke dir.

Man könnte natürlich auch mit

Quad9 9.9.9.9
DNS-Watch 84.200.69.80
Cloudflare 1.1.1.1

arbeiten. Hast du, bevor du selbst aufgelöst hast, noch mit anderen Anbietern zusammengearbeitet, die du empfehlen kannst?

[24unix]

Alles klar, danke dir.

Man könnte natürlich auch mit

Quad9 9.9.9.9
DNS-Watch 84.200.69.80
Cloudflare 1.1.1.1

arbeiten. Hast du, bevor du selbst aufgelöst hast, noch mit anderen Anbietern zusammengearbeitet, die du empfehlen kannst?

Anfangs habe ich die Resolver von Hetzner genutzt.
Aber empfehlenswert ist keiner, alle zensieren.

[tab-kh]

Es gibt ja außer Datenschutz und Zensur auch noch andere Gründe, wieso ein eigener rekursiver Resolver Vorteile bietet, sei es lokal auf dem Server oder separat. Einer ist z.B. die Nutzung von DNS-Blocklisten zur Spamvermeidung bei Mailempfang. Da hat jeder Resolver soundsoviele Abfragen bei der Blockliste pro Tag. Dass die öffentlichen Resolver ihre Abfragen relativ schnell verballern ist klar, weil sie halt einfach von vielen Leuten genutzt werden. Danach kann dein Server die Blockliste für Sender-IPs über diese Resolver nicht mehr abfragen und wird so Spam-Mails durchlassen, die er andernfalls hätte abweisen können. Nutzt du eigene Resolver, dann fährst du in dieser Hinsicht wesentlich besser.

[Henning]

Ja, das verstehe ich. Nur muss man dazu einfach die Ahnung und auch die Zeit haben. Ich persönlich finde, einen eigenen Server zu betreiben bringt schon viel Verantwortung mit sich. Das Betreiben eines eigenen Resolvers muss auch von ausreichend Wissen geprägt sein, welches mir einfach fehlt, ich kenne da wirklich nur die gröbsten Wissensstücke. Von daher bin ich alleine dadurch schon auf einen Fremdanbieter angewiesen.

[24unix]

welches mir einfach fehlt,

Dein Bind weiss das alles schon:

Code: Select all

cat /usr/share/dns/root.hints

Wenn Du localhost als resolver nimmst, werden die root server abgefragt. Ungefiltert.

[Henning]

Hallo Micha,

irgendwie hast du mich jetzt doch dazu bewogen mich damit mal ein wenig auseinander zu setzen. Frage im Vorfeld: betreibt man den eigenen dns auf einem separaten (v)server? Betreibst du auch einen sekundären (backup) server? Was kommt da an Speicherverwendung von bind zusammen, womit muss man da grob rechnen?

[Jolinar]

betreibt man den eigenen dns auf einem separaten (v)server? Betreibst du auch einen sekundären (backup) server?

Wenn man sich eine eigene DNS Infrastruktur aufbaut, sollte man natürlich mit Redundanz arbeiten, also mindestens zwei Server in unterschiedlichen Subnetzen und sinnvollerweise auch bei verschiedenen Anbietern.

Was kommt da an Speicherverwendung von bind zusammen, womit muss man da grob rechnen?

Als DNS Server reichen kleine vServer mit 1 Core und 1GB RAM dicke aus.

[24unix]

Hallo Micha,

irgendwie hast du mich jetzt doch dazu bewogen mich damit mal ein wenig auseinander zu setzen. Frage im Vorfeld: betreibt man den eigenen dns auf einem separaten (v)server? Betreibst du auch einen sekundären (backup) server? Was kommt da an Speicherverwendung von bind zusammen, womit muss man da grob rechnen?

Jolinar hat ja schon was dazu geschrieben, aber da Du mich direkt gefragt hast:

Mein primärer NS ist die Kiste, auf dem ich auch das hosting mache.

Redundanzen sind bei den meisten registries vorgeschrieben (auch wenn es in meinem Fall unsinnig ist, ist der Webserver nicht erreichbar, macht es keinen Unterschied, ob DNS geht oder nicht).

Zusätzlich habe ich 2 VServer als slaves, beide mit KeyHelp, weil ich das auch als Entwicklungsumgebung für meine BindAPI nutze.

Die sind recht genügsam.

ns2: KVM, 2GB Ram, 1 Core, minimale Load. Ca 8 GB SSD für Debian und KH.
ns3: VMWare, 440MB Ram, 1 Core, auch minimale Load, 5,4 GB auf der SSD belegt.

Alle drei liegen in unterschiedlichen Netzsegmenten, ns3 bei einem anderem Provider.

[Henning]

Vielen Dank euch beiden. Wenn ich irgendwie praktisch weiter bin, melde ich mich dazu.