ホーム
製品
Red Hat Enterprise Linux
9
ネットワークのセキュリティー保護
5.3. カスタム起動可能な ISO を使用して eDNS を有効化した RHEL のインストール

5.3. カスタム起動可能な ISO を使用して eDNS を有効化した RHEL のインストール

カスタム起動可能な ISO を作成して、eDNS 強制 ポリシーを使用して RHEL をインストールします。これにより、インストール中およびインストール後にすべての DNS クエリーがプライベートおよび安全になります。カスタムの CA 証明書バンドルが必要な場合は、キックスタートファイルの %certificate セクションを使用してインストールする必要があります。次に、このキックスタートファイルをスクリプトで参照して、厳格な DoT ポリシーを適用するカーネル引数を含む新しい ISO を構築します。ご使用の環境で暗号化されていない DNS へのフォールバックが許可されている場合は、標準の RHEL インストールを実行し、後で eDNS を設定できます。

前提条件

sudo または root ユーザーアクセス権によって提供される管理者特権。これは先頭にコマンドプロンプト # が付いているコマンドに必要です。sudo アクセスの設定方法は、権限のないユーザーが特定のコマンドを実行する方法を参照してください。
製品のダウンロードページから、フルインストール用 DVD ISO または最小限のインストールブート ISO イメージをダウンロードし ている。
%certificate セクションを含むキックスタートファイルがある (カスタム CA バンドルが必要な場合)。
lorax パッケージがインストールされている。

手順

必要に応じて、最小インストールの起動 ISO イメージを使用する場合には、rhsm コマンドを使用してキックスタートファイルにインストールソースを設定します。
```
Register the system and use CDN as the installation source
```
```
# Register the system and use CDN as the installation source
rhsm --organization=<org_id> --activation-key=<activation_key>
```
Copy to Clipboard Toggle word wrap
注記
インストールソースを作成して、HTTP、FTP、または NFS で利用できるようにすることもできます。詳細は、ネットワークベースのリポジトリーの準備を参照してください。

必要に応じて、%certificate セクションを使用してキックスタートファイルを作成します。証明書が tls-ca-bundle.pem という名前のファイルに保存されていることを確認します。

%certificate --dir /etc/pki/dns/extracted/pem/ --filename tls-ca-bundle.pem
-----BEGIN CERTIFICATE-----
<Base64-encoded_certificate_content>
-----END CERTIFICATE-----
%end

%certificate --dir /etc/pki/dns/extracted/pem/ --filename tls-ca-bundle.pem
-----BEGIN CERTIFICATE-----
<Base64-encoded_certificate_content>
-----END CERTIFICATE-----
%end

Copy to Clipboard

Toggle word wrap

キックスタートファイルとカーネル引数を ISO に追加します。

次のスクリプト例は、eDNS が有効なカスタムの起動可能な ISO を作成する方法を示しています。このプロセスを自動化するには、スクリプトファイルを作成する必要があります。

!/bin/bash set -ex KERNELARGS="" # Enable network KERNELARGS+="ip=dhcp " # Set DoT DNS server KERNELARGS+="rd.net.dns=dns+tls://<server_ip><dns_server_hostname> "

# Set to 'exclusive' to disable fallback to unencrypted DNS. Other values: 'backup', 'prefer'.
KERNELARGS+="rd.net.dns-resolve-mode=exclusive "

# Set the dnsconfd plugin for NetworkManager
KERNELARGS+="rd.net.dns-backend=dnsconfd "

# Remove any existing ISO to prevent conflicts with the new build
rm -f <output_iso_filename>

# Create a new bootable ISO with the Kickstart config file and kernel arguments
mkksiso --ks <kickstart_file> --cmdline "$KERNELARGS" <input_iso_filename> <output_iso_filename>

!/bin/bash set -ex KERNELARGS="" # Enable network KERNELARGS+="ip=dhcp " # Set DoT DNS server KERNELARGS+="rd.net.dns=dns+tls://<server_ip>!/bin/bash set -ex KERNELARGS="" # Enable network KERNELARGS+="ip=dhcp " # Set DoT DNS server KERNELARGS+="rd.net.dns=dns+tls://<server_ip><dns_server_hostname> "

# Set to 'exclusive' to disable fallback to unencrypted DNS. Other values: 'backup', 'prefer'.
KERNELARGS+="rd.net.dns-resolve-mode=exclusive "

# Set the dnsconfd plugin for NetworkManager
KERNELARGS+="rd.net.dns-backend=dnsconfd "

# Remove any existing ISO to prevent conflicts with the new build
rm -f <output_iso_filename>

# Create a new bootable ISO with the Kickstart config file and kernel arguments
mkksiso --ks <kickstart_file> --cmdline "$KERNELARGS" <input_iso_filename> <output_iso_filename>

Copy to Clipboard

Toggle word wrap

スクリプトを実行します。
```
sh <script_filename>
```
```
# sh <script_filename>
```
Copy to Clipboard Toggle word wrap
カスタマイズした ISO ファイルを使用して RHEL をインストールします。

検証

eDNS 設定を確認します。

dnsconfd status

$ dnsconfd status

Copy to Clipboard

Toggle word wrap

想定される出力:

Running cache service:
unbound
Resolving mode: exclusive
Config present in service:
{
    ".": [
        "dns+tls://198.51.100.143#dot.dns.example.com"
    ]
}
State of Dnsconfd:
RUNNING
Info about servers: [
    {
        "address": "198.51.100.143",
        "port": 853,
        "name": "dot.dns.example.com",
        "routing_domains": [
            "."
        ],
        "search_domains": [],
        "interface": null,
        "protocol": "dns+tls",
        "dnssec": true,
        "networks": [],
        "firewall_zone": null
    }
]

Running cache service:
unbound
Resolving mode: exclusive
Config present in service:
{
    ".": [
        "dns+tls://198.51.100.143#dot.dns.example.com"
    ]
}
State of Dnsconfd:
RUNNING
Info about servers: [
    {
        "address": "198.51.100.143",
        "port": 853,
        "name": "dot.dns.example.com",
        "routing_domains": [
            "."
        ],
        "search_domains": [],
        "interface": null,
        "protocol": "dns+tls",
        "dnssec": true,
        "networks": [],
        "firewall_zone": null
    }
]

Copy to Clipboard

Toggle word wrap

nslookup を使用して DNS サーバーが応答することを確認します。
```
nslookup <domain_name>
```
```
$ nslookup <domain_name>
```
Copy to Clipboard Toggle word wrap
<domain_name> は、照会するドメインに置き換えます。

トラブルシューティング

unbound で詳細なロギングを有効にします。
```
unbound-control verbosity 5
```
```
# unbound-control verbosity 5
```
Copy to Clipboard Toggle word wrap
関連するサービスのログを確認します。
```
journalctl -xe -u <service_name>
```
```
$ journalctl -xe -u <service_name>
```
Copy to Clipboard Toggle word wrap
<service_name> は、NetworkManager、dnsconfd、または unbound に置き換えます。

トップに戻る

5.3. カスタム起動可能な ISO を使用して eDNS を有効化した RHEL のインストール

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links