在Ubuntu 24.04上使用nsd安裝一台Authoritative DNS Server

-

 我發現安裝Ubuntu 24.04 Server後預設會有systemd-resolved service在跑, 使用netstat -l指令查看, 會看到127.0.0.53之類的socket出現, 還有使用ls -l /etc/resolv.conf, 會發現這個檔案變成軟連結。問了Copilot, 它說: "127.0.0.53 是 Linux 系統(特別是使用 systemd 的發行版,如 Ubuntu)中 systemd-resolved 的本地 DNS stub resolver。它的作用是作為本機 DNS 中介,將應用程式的查詢轉發給實際的上游 DNS 伺服器。"而systemd-resolved的上遊是那台DNS server呢? 應該是放在 /etc/systemd/resolved.conf 這個設定檔, 這個檔可以如下設定:

[Resolve]

DNS=8.8.8.8
FallbackDNS=1.1.1.1

然後, 下指令:
sudo systemctl restart systemd-resolved

重啓systemd-resolved, 應該就可以正常的ping的到主機名稱了。

 問題是, 我要安裝nsd時, 會發現port 53已經被佔用, 不能安裝了。所以第一個動作, 我必須先禁用systemd-resolved, 改回使用原本的/etc/resolv.conf檔的老方法。Copilot告訴我的詳細作法:

-------------------------------------------------------------------------------------------------------
關閉 systemd-resolved 的完整步驟:
- 停止並禁用服務
sudo systemctl disable --now systemd-resolved
- 移除 /etc/resolv.conf 的符號連結(symbolic link)
預設這個檔案其實是連到 /run/systemd/resolve/stub-resolv.conf
sudo rm /etc/resolv.conf
- 建立一份你自己的 resolv.conf 檔案
你可以手動指定 DNS,例如使用 Google DNS:
echo "nameserver 8.8.8.8" | sudo tee /etc/resolv.conf
echo "nameserver 1.1.1.1" | sudo tee -a /etc/resolv.conf
- ✅ 確認你的設定生效
執行:
cat /etc/resolv.conf


- 確認內容是你剛剛設定的 DNS。
📌 提醒一下:
關掉 systemd-resolved 之後,你系統上的某些網路管理工具(如 NetworkManager)如果沒有特別設定,可能會重新覆蓋 /etc/resolv.conf。
-------------------------------------------------------------------------------------------------------

為了避免/etc/resolv.conf再被別的工具覆蓋, Copilot教的方法:

=============================================================
方法一:使用 chattr 鎖定 resolv.conf
這個方法簡單又有效,適合手動管理 DNS。
- 確保 resolv.conf 已存在並正確設定
cat /etc/resolv.conf
- 例如,內容應該類似:
nameserver 8.8.8.8
nameserver 1.1.1.1
- 鎖定該檔案以防修改
sudo chattr +i /etc/resolv.conf
- 這會把檔案設成不可修改(immutable)。
- 如果日後你想修改內容,請先移除鎖定:
sudo chattr -i /etc/resolv.conf
⚙️ 方法二:調整 NetworkManager 設定(如果你有用它)如果你的系統有安裝 NetworkManager,可以這樣讓它不要自動控制 DNS 設定。- 編輯設定檔:
sudo nano /etc/NetworkManager/NetworkManager.conf
- 在 [main] 區段底下加一行:
dns=none
- 重新啟動 NetworkManager:
sudo systemctl restart NetworkManager
- 然後再次手動建立 /etc/resolv.conf(就像你之前做的那樣)。
🧠 小叮嚀:使用 chattr +i 是最強制、也最不容易出錯的方法,但如果你未來會透過圖形介面或 DHCP 自動取得 DNS,那就建議使用方法二來保持彈性。
=============================================================

我自己因為只想安裝最單純的指令列Linux, 所以選擇將NetworkManager關掉:
# disable NetworkManager
sudo systemctl disable NetworkManager.service

到這裡就可以安裝nsd了。
sudo apt update
sudo apt upgrade
sudo apt install nsd

裝完, 可以設定nsd, 主要有2個設定檔:
sudo nano /etc/nsd/nsd.conf
sudo nano /var/lib/nsd/example.com.zone

設定檔如果都設定正確了, 可以啓動:
sudo systemctl start nsd

可以設定在開機時, 就啓動它:
sudo systemctl enable nsd

之後就可以使用dig, nslookup或者網路工具(如 dns checker)來檢查設定的對不對。

平時可以檢查nsd有沒有跑起來:
 systemctl list-units --type=service --state=running

**********************************************************************
*  錯誤訊息:  Cannot open /var/log/nsd.log for appending (Read-only file system)
**********************************************************************
我去問了Copilot, 它列了一些可能的問題點, 其中我覺得有用的是, 它說systemd sandbox 限制, 可以查看NSD 的 systemd 服務檔案,看它是否限制了寫入 /var/log?

特別注意以下幾個欄位是否啟用:
- ProtectSystem=full 或 strict:可能導致 /var/log 無法寫入
- ReadOnlyPaths=/var/log:明確將 /var/log 設為唯讀
- ReadWritePaths=:若有設定,應包含 /var/log 或你指定的 log 路徑

我下指令 sudo nano /lib/systemd/system/nsd.service 指令查看, 發現可疑的設定處:
ProtectSystem=strict
ReadWritePaths=/var/lib/nsd /etc/nsd /run

所以問題明顯地出在這裡了, 我做了修改:
ReadWritePaths=/var/lib/nsd /etc/nsd /run /var/log

存檔後, 下指令: 
sudo systemctl daemon-reexec
sudo systemctl restart nsd
sudo systemctl status nsd

$ sudo systemctl status nsd
● nsd.service - Name Server Daemon
     Loaded: loaded (/usr/lib/systemd/system/nsd.service; enabled; preset: enabled)
     Active: active (running) since Wed 2025-07-09 09:13:32 UTC; 57min ago
       Docs: man:nsd(8)
   Main PID: 4340 (nsd: xfrd)
      Tasks: 3 (limit: 1002)
     Memory: 38.1M (peak: 38.3M)
        CPU: 131ms
     CGroup: /system.slice/nsd.service
             ├─4340 /usr/sbin/nsd -d -P
             ├─4342 /usr/sbin/nsd -d -P
             └─4343 /usr/sbin/nsd -d -P

Jul 09 09:13:32 nserver systemd[1]: Starting nsd.service - Name Server Daemon...
Jul 09 09:13:32 nserver systemd[1]: Started nsd.service - Name Server Daemon.

果然, 錯誤訊息不見了。

也可以用
journalctl -u nsd
來查看log訊息。


留言

張貼留言

這個網誌中的熱門文章

D-BUS學習筆記

-
圖片
我第一個看到的文章是 ali's Blog [1] , 其中提到二支程式server.c client.c,我試著去compile這二支程式, 沒什麼太大的問題就可以成功。因為這是所謂的dbus c api, 也就是low lever api,在ubuntu下只要安裝套件libdbus-1-dev, 就會安裝這個api: $ sudo apt-get install libdbus-1-dev 然後就如該文所提到的,在compile時,必須指定library: $ gcc server.c -o server -l dbus-1 此時再去compile程式,可能會發現找不到dbus.h的問題。其實檔案是存在的,只是gcc不知道去那裡找而已。我們只要加入-I/usr/include/dbus-1.0 -I/usr/lib/dbus-1.0/include 告訴gcc就可以了。 $ gcc -I/usr/include/dbus-1.0 -I/usr/lib/dbus-1.0/include -o server server.c -l dbus-1 如此,可以compile成功。但每次要打這麼多字,實在記不得,也容易打錯,所以使用Makefile吧! 建一個檔案,其名為Makefile,內容如下: All: server client server: server.c   gcc -I/usr/include/dbus-1.0 -I/usr/lib/dbus-1.0/include -o server server.c -l dbus-1 client: client.c   gcc -I/usr/include/dbus-1.0 -I/usr/lib/dbus-1.0/include -o client client.c -l dbus-1 我們把server.c client.c Makefile三個檔案,都放在同一個目錄,叫做dbus-test好了。這樣以後只要: $ cd dbus-test $ make 就會正確的編出server client二支可執行的程式。我們也不用去記這些很長的路徑名稱了。用過Makefile的朋友應該看得出來,其實Makefile可以再簡短一些。改成如下: ...
閱讀完整內容

Cisco Switch學習筆記: EtherChannel

-
EtherChannel : 用來將二個交換器之間多條實體線路串成一條虛擬線路, 具有增加頻寬, 容錯的好處。 注意事項: FastEthernet只能和FastEthernet的埠串在一起, Giga只能和Giga的串在一起, 不可混在一起! 使用的協定 : PAgP(Port Aggregation Protocol) or LACP(Link Aggregation Control Protocol) 負載平衡及傳送方法 : source-MAC address, destination-MAC address, source-and-destination MAC address forwarding; 即以來源端MAC位址決定使用那條實體線路, 以目的端MAC位址決定使用那條線路, 以來源端及目的端MAC位址決定使用那條線路。 使用心得: 容錯能力很好, 實體線路中斷, 可以在數秒內切換至別條線路使用。 設定範例 : interface FastEthernet0/7 channel-group 1 mode passive interface FastEthernet0/8 channel-group 1 mode passive 表示將Fa0/7,Fa0/8設成同一個group, 使用LACP的被動模式! 將另一邊的埠也以同樣方式設定, 但mode設成active即可! 檢視狀態: sh etherchannel detail sh etherchannel load-balance sh etherchannel port sh etherchannel port-channel sh etherchannel protocol sh etherchannel summary 可以看到只要使用interface指令channel-group就可以設定了, 交換器會自己新增一個interface: interface Port-channel1 其他的功能會將這個介面當成如實體介面一樣使用, 例如: #sh spanning-tree Interface Role Sts Cost Prio.Nbr Type ---------------- ---- --- --------- -------- --------------------------...
閱讀完整內容

Cisco Switch學習筆記: interface的封包錯誤統計

-
有時候實體線路品質不好時, 我們想看看該線路的品質狀況, 可以用sh interface指令來看封包的錯誤比率等統計數字: #sh interface gi0/2 GigabitEthernet0/2 is up, line protocol is up (connected) . . Last clearing of "show interface" counters never . 678641 input errors, 30447 CRC, . . 此例中可以看到從以前到現在共有678641個輸入的錯誤, 30447個CRC錯誤! 那當我們把線路做了改善, 例如換新的線等, 我們會想知道是不是有真的有改善了! 如果統計數字是累積性的, 就很不方便觀察改善情形! 此時可以使用clear counters指令將這個界面的封包錯誤統計數字清除重來! # clear counters gi0/2 Clear "show interface" counters on this interface [confirm] #sh interface gi0/2 GigabitEthernet0/2 is up, line protocol is up (connected) . . Last clearing of "show interface" counters 00:00:10 . 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored . . 這樣, 在一段時間後, 就可以觀察到線路改善後的封包錯誤統計情形!
閱讀完整內容