CloudFlare 네임서버를 VPS에 추가해도 안전합니까?

CloudFlare 네임서버를 VPS에 추가해도 안전합니까?

나는우분투 22.04 VPS공인 IP를 사용하여 SSH만 사용하여 VPS에 액세스합니다. 이와 같은 GUI가 설치되어 있지 않습니다.XRDP또는가상 네트워크 컨트롤러, CloudFlare 이름 서버를 추가할 계획입니다. /etc/resolv.conf아마도 다음과 같을 것입니다.

nameserver 1.1.1.1
nameserver 127.0.0.53

이렇게 하면 안전할까요? 아니면 이 서버에 대한 SSH 액세스를 잃게 됩니까?

답변1

nameserver 1.1.1.1
nameserver 127.0.0.53

이 서버에 대한 SSH 액세스가 손실됩니까?

이름 서버를 변경해도 설정된 SSH 연결은 중단되지 않습니다.

새 SSH 연결은 둘 다 액세스 제어를 위해 역방향 DNS 레코드를 사용하는 경우에만 영향을 받습니다(일반적으로 그렇지 않지만 허용됩니다.from=옵션) ˜/.ssh/authorized_keys인쇄상의 오류와 같은 중요한 변경을 수행했습니다.

변경하고, 현재 세션을 열어두고, 변경한 후에는 새 세션으로 로그인하십시오.

이렇게 하면 안전할까요?

안전한? 예.

가장 좋은 방법은? 아마도 그렇지 않을 것입니다.

이 항목은 nameserver 127.0.0.53(기본적으로) 시스템이 현재 systemd 확인자를 사용하고 있음을 나타냅니다.systemd-resolved.

확인하고 확인하실 수 있습니다resolvectl status

시스템에서 systemd-resolved가 사용하는 (공용) 확인자를 관리하고 변경하려면 다음을 변경하십시오.resolved.conf및/또는 직접 삽입./resolved.conf.d/*.conf.config 파일 대신 /etc/resolv.conf.

기존 확인자 동작과 달리 네임서버 항목을 추가하면 이를 얻을 수 있습니다. /etc/resolv.conf다음과 같은 기능을 지원하려면 systemd-resolved를 계속 사용하세요.DNS over TLS그 자체로 이것이 당신이 사용하고 싶은 이유 중 하나일 수 있습니다.윤야오광그리고 그들의1.1.1.1첫 번째는 공개 파서입니다.


resolved.conf CloudFlare 공개 확인자를 첫 번째 선택으로 하고 Google을 백업으로 사용 하는 TLS 사용 예 :

# /etc/systemd/resolved.conf
[Resolve]
DNS=1.1.1.1 1.0.0.1
FallbackDNS=8.8.8.8 8.8.4.4
Domains=~.
#LLMNR=no
#MulticastDNS=no
DNSSEC=yes
DNSOverTLS=yes
#Cache=yes
#DNSStubListener=yes
#ReadEtcHosts=yes

문제의 서비스(IIRC systemctl restart systemd-resolved)를 다시 시작한 후에는 아마도 resolvectl status반환이 표시될 것입니다.

Global
       LLMNR setting: no
MulticastDNS setting: no
  DNSOverTLS setting: yes
      DNSSEC setting: yes
    DNSSEC supported: yes
  Current DNS Server: 1.1.1.1
         DNS Servers: 1.1.1.1
                      1.0.0.1
Fallback DNS Servers: 8.8.8.8
                      8.8.4.4
          DNS Domain: ~.

답변2

해당 VPS의 DNS 조회가 현재 중단된 경우(그렇지 않으면 실제로 아무것도 변경하지 않은 경우)그리고당신은 이상한 IP/역방향 DNS 설정으로 연결하고 있습니다(어떤 이상한 것이 필요한지는 잘 모르겠지만 원격으로 평범한 것보다 훨씬 뛰어납니다). 문제가 있을 수도 있다는 가능성을 배제하지는 않지만 여기에는 두 가지가 있습니다. 있을 법하지 않은 일이지만 둘 다 사실이어야 합니다.

내 생각에 해결 방법은 편집을 한 후 편집에 사용된 연결을 닫기 전에(영향을 받지 않음) 새 연결을 만드는 것입니다.

관련 정보