在FreeBSD 10上保护resolv.conf免受DHCP攻击

• 方法1：使用静态接口设置
• 方法2：使resolv.conf不可变
• 方法3：礼貌地告诉FreeBSD不要理会您的设置

如果您正在运行自己的解析程序，或者希望使用第三方供应商提供的解析程序，则可能会发现您的/etc/resolv.conf文件已被DHCP覆盖。有几种方法可以解决此问题。由于您可能要重新启动以确保所做的更改仍然有效，并且由于首先要考虑网络设置，因此我强烈建议在测试实例和/或高峰期之外进行此操作小时。

现在，这是从最差到最好的三种方法。请注意，本指南中的所有方法都是针对FreeBSD 10编写的。Linux用户可以参考本指南。

方法1：使用静态接口设置

在我的有限测试中，由于不必等待DHCP分配网络设置，因此引导时间会稍短一些。但是，我在一些Vultr文档中看到提到使用静态接口设置是不受欢迎的，您应该坚持使用DHCP。我认为他们对此有充分的理由，因此我自己继续使用DHCP。不过，如果您决定走这条路，请按照以下步骤操作。

• 确定服务器的IP，网络掩码和网关IP。
• 修改/etc/rc.conf以使用这些值而不是DHCP。
• 重新启动以测试设置。

确定IP /网络掩码/网关

假设您的接口是vtnet0，请执行以下操作：

ifconfig vtnet0 | grep inet

这应该为您获取服务器的IP地址和网络掩码：

inet 10.10.10.10 netmask 0xffffff00 broadcast 10.10.10.255

FreeBSD喜欢使用十六进制作为网络掩码。255.255.255.0如果您有兴趣，可以将以上内容转换为。您可以在此处找到一个方便的表，但不要担心：您可以将十六进制地址复制到配置文件中（或者根据需要将其转换为十进制）。

您可以通过多种方式找到网关。这是一个：

route get default | grep gateway 将返回以下内容：

gateway: 10.10.10.1

/etc/rc.conf用新值修改

有了IP，网络掩码和网关，现在可以将它们添加到系统配置中了。我强烈建议您在进行任何更改之前备份此文件，因为如果您搞砸了，它将使撤消操作变得容易得多。现在，/etc/rc.conf在您选择的编辑器中打开，并进行以下更改：

# Comment out this line:
# ifconfig_vtnet0="dhcp"

# Add these lines:
defaultrouter="10.10.10.1"
ifconfig_vtnet0="inet 10.10.10.10 netmask 0xffffff00"

显然，您应该确保将您的实际IP，网络掩码和网关替换为我明显的假货。

重新启动并测试

使用重新启动服务器shutdown -r now，并确保其正确启动。执行您认为必要的任何测试，以确保一切正常。如果无法访问网络，请通过控制台登录并还原您的更改。如果一切都很好，此时，您可以放入任何您喜欢的东西，resolv.conf而不必担心它会消失。

如果出于某种原因您无法重新启动，那么应该可以，但是如果您是我，我真的会进行适当的重新启动：

service netif restart && service routing restart

方法2：使resolv.conf不可变

这有点骇人听闻，但这无疑是最快的解决方案。我不建议这样做，因为当您升级到新版本的操作系统时，我无法保证这不会在将来引起某些怪异，并且dhclient可能会抱怨很多。就是说，一个简单的chflags schg /etc/resolv.conf就是所需要的。现在，该文件已被完全写保护，即使从根目录也是如此。您可以这样验证：

vultr [~]# chflags schg /etc/resolv.conf
vultr [~]# ls -ol /etc/resolv.conf
-rw-r--r--  1 root  wheel  schg 50 Nov 29 06:28 /etc/resolv.conf
vultr [~]# echo "so very untouchable" >> /etc/resolv.conf
/etc/resolv.conf: Operation not permitted.

撤消： chflags noschg /etc/resolv.conf

方法3：礼貌地告诉FreeBSD不要理会您的设置

到目前为止，这是最干净，最正确的方法。您可以采用两种方法：

配置 dhclient

让我们从上面的例子开始，并说您要做的就是将自定义名称服务器放入其中，resolv.conf并且不想每次DHCP都执行它时就丢失它。就我而言，我想使用我安装的在本地主机上侦听的缓存解析器，因此我进行编辑/etc/dhclient.conf（除了注释之外，它可能是空白的）并添加以下内容：

interface "vtnet0" {
    supersede domain-name-servers 127.0.0.1;
}

这将使dhclient可以做您需要做的所有其他事情，但是当DHCP服务器向它发送要使用的名称服务器列表时，您的名称服务器将取代（完全替换）它提供的名称服务器。如果您想补充（而不是替换）所提供的内容，则可以视需要“附加”或“添加”而不是“取代”。

顺便说一句，如果您需要多个定制服务器，请按以下方式指定它们：

supersede domain-name-servers 127.0.0.1, 127.0.0.2;

进行更改后，请重新启动dhclient以使它们立即生效：

service dhclient restart vtnet0

检查您的服务器/etc/resolv.conf，您应该发现它现在已包含您的自定义名称服务器。

在撰写本文时，名称服务器是Vultr的DHCP服务器已放入my resolv.conf的唯一内容，也是我希望自定义的唯一内容。但是，如果您需要覆盖任何其他设置，请查阅出色的手册以获取详细列表：

man 5 dhclient.conf

底部有很多很好的例子，应该使您对可以做的事情有所了解。想不到，我可以想象您可能想添加一些类似的内容，supersede domain-name "example.com";如果您通常在其中有一行resolv.conf。再次，请查阅文档。

配置 resolvconf

如果您只想resolv.conf一个人呆着，这是最简单的解决方案。根据手册：

resolvconf manages resolv.conf(5) files from multiple sources, such as DHCP and VPN clients

它的配置位于中/etc/resolvconf.conf，它可能在您的系统上不存在，因此随时创建它。为了使您的resolv.conf一成不变，请添加以下内容：

# prevent all updates to resolv.conf:
resolv_conf="/dev/null"

如果您unbound用作本地缓存解析器，那就是它添加的行（以及一些附加的行）。基本上是在欺骗resolvconf您，以为您/etc/resolv.conf位于/dev/null。稍微不那么平均，但同样有效的是：

# disable resolvconf from running any subscribers:
resolvconf="NO"

如果您想做一些比关闭它更复杂的事情，请参考手册页resolvconf并获取resolvconf.conf大量信息。