systemd-resolve --statusからの出力の解釈
新しいLinuxシステムでは、cat /etc/resolv.confを実行してもDNSを確認できないようです。これはsystemd-resolve --statusによって行われます。
以下は、そのコマンドの出力例です。
user@user:~$ systemd-resolve --status
Global
DNSSEC NTA: 10.in-addr.arpa
16.172.in-addr.arpa
168.192.in-addr.arpa
17.172.in-addr.arpa
18.172.in-addr.arpa
19.172.in-addr.arpa
20.172.in-addr.arpa
21.172.in-addr.arpa
22.172.in-addr.arpa
23.172.in-addr.arpa
24.172.in-addr.arpa
25.172.in-addr.arpa
26.172.in-addr.arpa
27.172.in-addr.arpa
28.172.in-addr.arpa
29.172.in-addr.arpa
30.172.in-addr.arpa
31.172.in-addr.arpa
corp
d.f.ip6.arpa
home
internal
intranet
lan
local
private
test
Link 3 (wlp4s0)
Current Scopes: DNS LLMNR/IPv4 LLMNR/IPv6
LLMNR setting: yes
MulticastDNS setting: no
DNSSEC setting: no
DNSSEC supported: no
DNS Servers: fe80::e695:6eff:fe40:9af2
DNS Domain: lan
説明には、
- 状態
Shows the global and per-link DNS settings in currently in effect.
Globalセクションは何を表し、それらのアドレスは何を表し、DNSとどのように関連していますか?
systemd-resolveドキュメントは言う:
接続するDNSサーバーは、/ etc/systemd/resolved.confのグローバル設定、/ etc/systemd/network/*。networkファイルのリンクごとの静的設定、DHCP経由で受信したリンクごとの動的設定、および他のシステムサービスによって利用可能になったDNSサーバー情報。
これはあなたのGlobalフラグを説明していると思います。
DNSSEC NTAはDNSSEC Negative Trust Anchorの略です。これは、特定のドメインのDNS検証を無効にすることにより、DNSSECデータを「上書き」するために署名されていないか、正しく署名されていないドメインに適用されます。私が引用しているRFC7646を参照してください:
NTAは、検証中のDNS再帰リゾルバーでローカルに構成され、エンドユーザーをDNSSEC関連の信頼できるネームサーバーの操作エラーから保護します。 NTAは一時的なものであり、NTAを必要とする組織によってのみ実装されることを意図しています(管理境界外の組織によって配布されることはありません)。