主页
产品
Red Hat Enterprise Linux
10
安全网络
5.2. 使用本地安装介质启用的 eDNS 安装 RHEL

5.2. 使用本地安装介质启用的 eDNS 安装 RHEL

使用 eDNS 强制 策略安装 RHEL 系统，以确保所有 DNS 查询都是在安装过程中和之后的私有和安全。如果需要自定义 CA 证书捆绑包，则必须使用 Kickstart 文件中的 %certificate 部分安装它。

在安装过程中，您必须从本地介质提供 RHEL 安装内容和 Kickstart 文件。您无法从远程 HTTP 服务器下载 Kickstart 文件，因为安装程序需要使用 DNS 解析服务器的主机名。如果您的环境允许回退到未加密的 DNS，您可以执行标准 RHEL 安装并在之后配置 eDNS。

先决条件

以 # 命令提示符开头的命令需要 sudo 或 root 用户访问提供管理特权。有关如何配置 sudo 访问权限的详情，请参考启用非特权用户来运行某些命令。
您有 RHEL 安装介质。
如果您需要自定义 CA 捆绑包，请将带有 %certificate 部分的 Kickstart 文件在本地可用。

流程

可选：使用 %certificate 部分创建 Kickstart 文件。确保证书保存在名为 tls-ca-bundle.pem 的文件中。

%certificate --dir /etc/pki/dns/extracted/pem/ --filename tls-ca-bundle.pem
-----BEGIN CERTIFICATE-----
<Base64-encoded_certificate_content>
-----END CERTIFICATE-----
%end

%certificate --dir /etc/pki/dns/extracted/pem/ --filename tls-ca-bundle.pem
-----BEGIN CERTIFICATE-----
<Base64-encoded_certificate_content>
-----END CERTIFICATE-----
%end

Copy to Clipboard

Toggle word wrap

准备可引导安装介质，并包括 Kickstart 文件（如果需要自定义 CA 捆绑包）。
引导安装介质。
在引导菜单窗口中选择所需选项，然后按 e 键编辑引导参数。

添加 eDNS 内核参数：

linux ($root)/vmlinuz-6.12.0-0.el10_0.x86_64 root=/dev/mapper/rhel-root ro crashkernel=2G-64G:256M,64G-:512M resume=/dev/mapper/rhel-swap rd.lvm.lv=rhel/root rd.lvm.lv=rhel/swap rhgb quiet emergency ip=dhcp rd.net.dns=dns+tls://<server_ip>#<dns_server_hostname> rd.net.dns-resolve-mode=exclusive rd.net.dns-backend=dnsconfd inst.ks=hd:/dev/sdb1/mykickstart.ks

linux ($root)/vmlinuz-6.12.0-0.el10_0.x86_64 root=/dev/mapper/rhel-root ro crashkernel=2G-64G:256M,64G-:512M resume=/dev/mapper/rhel-swap rd.lvm.lv=rhel/root rd.lvm.lv=rhel/swap rhgb quiet emergency ip=dhcp rd.net.dns=dns+tls://<server_ip>#<dns_server_hostname> rd.net.dns-resolve-mode=exclusive rd.net.dns-backend=dnsconfd inst.ks=hd:/dev/sdb1/mykickstart.ks

Copy to Clipboard

Toggle word wrap

完成编辑后，按 Ctrl+X 使用指定的选项开始安装。

验证

验证您的 eDNS 配置：

dnsconfd status

$ dnsconfd status

Copy to Clipboard

Toggle word wrap

预期输出：

Running cache service:
unbound
Resolving mode: exclusive
Config present in service:
{
    ".": [
        "dns+tls://198.51.100.143#dot.dns.example.com"
    ]
}
State of Dnsconfd:
RUNNING
Info about servers: [
    {
        "address": "198.51.100.143",
        "port": 853,
        "name": "dot.dns.example.com",
        "routing_domains": [
            "."
        ],
        "search_domains": [],
        "interface": null,
        "protocol": "dns+tls",
        "dnssec": true,
        "networks": [],
        "firewall_zone": null
    }
]

Running cache service:
unbound
Resolving mode: exclusive
Config present in service:
{
    ".": [
        "dns+tls://198.51.100.143#dot.dns.example.com"
    ]
}
State of Dnsconfd:
RUNNING
Info about servers: [
    {
        "address": "198.51.100.143",
        "port": 853,
        "name": "dot.dns.example.com",
        "routing_domains": [
            "."
        ],
        "search_domains": [],
        "interface": null,
        "protocol": "dns+tls",
        "dnssec": true,
        "networks": [],
        "firewall_zone": null
    }
]

Copy to Clipboard

Toggle word wrap

使用 nslookup 验证 DNS 服务器是否响应：
```
nslookup <domain_name>
```
```
$ nslookup <domain_name>
```
Copy to Clipboard Toggle word wrap
将 & lt;domain_name > 替换为您要查询的域。

故障排除

在 unbound 中启用详细日志记录：
```
unbound-control verbosity 5
```
```
# unbound-control verbosity 5
```
Copy to Clipboard Toggle word wrap
查看相关服务的日志：
```
journalctl -xe -u <service_name>
```
```
$ journalctl -xe -u <service_name>
```
Copy to Clipboard Toggle word wrap
将 <service_name& gt; 替换为 NetworkManager、dnsconfd 或 unbound。

返回顶部

5.2. 使用本地安装介质启用的 eDNS 安装 RHEL

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links