🌐 Networking: DNS-over-HTTPS (DoH) в Linux — приватность уровня 2026
В 2026 году обычный DNS-трафик (порт 53) — это открытая книга для любого, кто сидит на транзите. Если хочешь скрыть свои запросы от посторонних глаз и защититься от подмены DNS, пора переходить на DoH. В современных дистрибутивах (Ubuntu 24.04+/Debian 13+) это настраивается через systemd-resolved. 🔐
Как включить за 1 минуту:
Отредактируй конфиг: sudo nano /etc/systemd/resolved.conf
Добавь или измени строки:
Перезапусти службу: sudo systemctl restart systemd-resolved
Как проверить: resolvectl status — в строке "Protocols" должно появиться +DoH.
Теперь твои DNS-запросы зашифрованы внутри обычного HTTPS-трафика. Провайдер видит, что ты куда-то ходишь, но не знает, на какие именно домены. 🕵️♂️
#networking #security #linux #doh #privacy #sysadmin #dns 🛡️
В 2026 году обычный DNS-трафик (порт 53) — это открытая книга для любого, кто сидит на транзите. Если хочешь скрыть свои запросы от посторонних глаз и защититься от подмены DNS, пора переходить на DoH. В современных дистрибутивах (Ubuntu 24.04+/Debian 13+) это настраивается через systemd-resolved. 🔐
Как включить за 1 минуту:
Отредактируй конфиг: sudo nano /etc/systemd/resolved.conf
Добавь или измени строки:
[Resolve]
DNS=1.1.1.1#cloudflare-dns.com
DNSOverHTTPS=yes
Перезапусти службу: sudo systemctl restart systemd-resolved
Как проверить: resolvectl status — в строке "Protocols" должно появиться +DoH.
Теперь твои DNS-запросы зашифрованы внутри обычного HTTPS-трафика. Провайдер видит, что ты куда-то ходишь, но не знает, на какие именно домены. 🕵️♂️
#networking #security #linux #doh #privacy #sysadmin #dns 🛡️
🔥1
🌐 Сеть: DNS-over-HTTPS (DoH) в браузере и системе — обходим цензуру на уровне имен 🔍
Если сайты перестали открываться, часто проблема не в блокировке IP, а в подмене DNS-ответов провайдером. В 2026 году использовать стандартный 53-й порт для DNS — значит позволять любому узлу на пути видеть и менять твои запросы.
Как настроить DoH в Linux через systemd-resolved:
Как проверить, что всё работает:
Итог: Провайдер больше не видит, какие домены ты запрашиваешь, и не может «подменить» адрес репозитория или нужного тебе ресурса.
#networking #dns #doh #privacy #security #sysadmin #linux #admin_future
Если сайты перестали открываться, часто проблема не в блокировке IP, а в подмене DNS-ответов провайдером. В 2026 году использовать стандартный 53-й порт для DNS — значит позволять любому узлу на пути видеть и менять твои запросы.
Как настроить DoH в Linux через systemd-resolved:
В /etc/systemd/resolved.conf добавь:
[Resolve]
DNS=1.1.1.1 8.8.8.8
DNSOverHTTPS=yes
Перезапусти: systemctl restart systemd-resolved
Как проверить, что всё работает:
resolvectl query google.com — ты должен увидеть, что запрос ушел в зашифрованном виде.
Итог: Провайдер больше не видит, какие домены ты запрашиваешь, и не может «подменить» адрес репозитория или нужного тебе ресурса.
#networking #dns #doh #privacy #security #sysadmin #linux #admin_future
👍3
🪟 Windows: DNS over HTTPS на сервере стал GA — шифруем DNS для клиентов
Коллеги, в июньском обновлении Windows Server 2025 (KB5094125) тихо приехала фича которую ждали — и которую затмили 206 CVE и Secure Boot. Разбираем.
Июньское обновление включает server-side DNS over HTTPS (DoH) как generally available. Это обеспечивает шифрованную DNS-коммуникацию между сервером и его клиентами, улучшая приватность и безопасность за счёт защиты DNS-запросов, особенно против определённых атак. Важно: DoH-поддержка применяется только к server-to-client коммуникации, не к шифрованию между серверами.
Почему это важно: DNS-запросы исторически идут открытым текстом. Любой кто видит трафик — видит какие домены резолвят твои клиенты. Для внутренней сети это вектор разведки при компрометации, для филиалов через недоверенные каналы — прямая утечка. DoH закрывает это на уровне DNS-сервера.
Также в этом же обновлении — важный фикс по теме которую мы разбирали в апреле:
Обновление решает проблему когда некоторые устройства могли входить в BitLocker recovery после обновления boot-файлов, на системах с определёнными настройками TPM validation (особенно невалидными PCR7-конфигурациями). Это поведение возникало после установки апрельского обновления KB5082063.
Зачем включать сейчас: после месяцев фокуса на патчинге уязвимостей — это редкая возможность улучшить базовую безопасность инфраструктуры проактивно. Шифрование DNS закрывает целый класс пассивной разведки в сети.
Итог: июньское обновление это не только 206 CVE и Secure Boot. Это DoH server-side GA + фикс апрельской BitLocker-проблемы. Подними DoH в лабе на этой неделе — это базовая гигиена которую долго ждали в Windows Server.
#windows #dns #doh #windowsserver2025 #security #sysadmin #admin_future
Коллеги, в июньском обновлении Windows Server 2025 (KB5094125) тихо приехала фича которую ждали — и которую затмили 206 CVE и Secure Boot. Разбираем.
Июньское обновление включает server-side DNS over HTTPS (DoH) как generally available. Это обеспечивает шифрованную DNS-коммуникацию между сервером и его клиентами, улучшая приватность и безопасность за счёт защиты DNS-запросов, особенно против определённых атак. Важно: DoH-поддержка применяется только к server-to-client коммуникации, не к шифрованию между серверами.
Почему это важно: DNS-запросы исторически идут открытым текстом. Любой кто видит трафик — видит какие домены резолвят твои клиенты. Для внутренней сети это вектор разведки при компрометации, для филиалов через недоверенные каналы — прямая утечка. DoH закрывает это на уровне DNS-сервера.
Также в этом же обновлении — важный фикс по теме которую мы разбирали в апреле:
Обновление решает проблему когда некоторые устройства могли входить в BitLocker recovery после обновления boot-файлов, на системах с определёнными настройками TPM validation (особенно невалидными PCR7-конфигурациями). Это поведение возникало после установки апрельского обновления KB5082063.
# Включаем DNS over HTTPS на Windows Server 2025 DNS-сервере:
# 1. Проверяем что июньское обновление установлено:
Get-HotFix -Id KB5094125 -ErrorAction SilentlyContinue
# 2. Включаем DoH на DNS-сервере:
Set-DnsServerSetting -Name "EnableDoHServer" -Value $true
# (точное имя командлета может отличаться — проверяем доступные:)
Get-DnsServerSetting -All | Select-String -Pattern "DoH|HTTPS"
# 3. Привязываем сертификат для DoH (нужен валидный TLS-сертификат):
# Сертификат с SAN = FQDN DNS-сервера
$cert = Get-ChildItem Cert:\LocalMachine\My |
Where-Object {$_.Subject -like "*dns-server-fqdn*"}
# Регистрируем сертификат для DoH listener
# 4. Проверяем что DoH слушает (порт 443):
Get-NetTCPConnection -LocalPort 443 -State Listen |
Where-Object {$_.OwningProcess -eq (Get-Process dns).Id}
# 5. Также новая GPO для контроля Secure Boot телеметрии:
# Computer Config -> Admin Templates -> Windows Components
# -> Secure Boot -> LimitSecureBootRequiredServiceData
# Позволяет ограничить какие Secure Boot данные уходят в Microsoft
# 6. Настраиваем клиентов на использование DoH:
# GPO: Computer Config -> Admin Templates -> Network -> DNS Client
# -> Configure DNS over HTTPS (DoH) name resolution -> Require DoH
Зачем включать сейчас: после месяцев фокуса на патчинге уязвимостей — это редкая возможность улучшить базовую безопасность инфраструктуры проактивно. Шифрование DNS закрывает целый класс пассивной разведки в сети.
Итог: июньское обновление это не только 206 CVE и Secure Boot. Это DoH server-side GA + фикс апрельской BitLocker-проблемы. Подними DoH в лабе на этой неделе — это базовая гигиена которую долго ждали в Windows Server.
#windows #dns #doh #windowsserver2025 #security #sysadmin #admin_future
❤1