Como você remove IPs de servidor DNS ruins do systemd-resolved?

Você pode usar este comando: sudo systemd-resolve --flush-cachesou sudo resolvectl flush-caches(último comando retirado da página man do systemd-resolve)

Para verificar se a descarga foi bem-sucedida, use:sudo systemd-resolve --statistics

Saída de amostra:

Cache
  Current Cache Size: 0
          Cache Hits: 101
        Cache Misses: 256

Observe também a seção da página de systemd-resolvemanual sobre /etc/resolv.conf, em qual modo você está operando?

/etc/resolv.conf

Quatro modos de manipulação de /etc/resolv.conf (veja resolv.conf(5)) são suportados:

systemd-resolved mantém o arquivo /run/systemd/resolve/stub-resolv.conf para compatibilidade com programas tradicionais do Linux. Este arquivo pode ter um link simbólico de /etc/resolv.conf. Este arquivo lista o stub DNS 127.0.0.53 (veja acima) como o único servidor DNS. Ele também contém uma lista de domínios de pesquisa que estão em uso pelo systemd-resolved. A lista de domínios de pesquisa é sempre mantida atualizada. Observe que /run/systemd/resolve/stub-resolv.conf não deve ser usado diretamente por aplicativos, mas apenas por meio de um link simbólico de /etc/resolv.conf. Este arquivo pode ter um link simbólico de /etc/resolv.conf para conectar todos os clientes locais que ignoram as APIs DNS locais ao systemd-resolved com as configurações corretas de domínios de pesquisa. Este modo de operação é recomendado.

É fornecido um arquivo estático /usr/lib/systemd/resolv.conf que lista o stub DNS 127.0.0.53 (veja acima) como único servidor DNS. Este arquivo pode ter um link simbólico de /etc/resolv.conf para conectar todos os clientes locais que ignoram as APIs DNS locais ao systemd-resolved. Este arquivo não contém nenhum domínio de pesquisa.

systemd-resolved mantém o arquivo /run/systemd/resolve/resolv.conf para compatibilidade com programas tradicionais do Linux. Este arquivo pode ter um link simbólico de /etc/resolv.conf e é sempre mantido atualizado, contendo informações sobre todos os servidores DNS conhecidos. Observe as limitações do formato de arquivo: ele não conhece um conceito de servidores DNS por interface e, portanto, contém apenas definições de servidor DNS em todo o sistema. Observe que /run/systemd/resolve/resolv.conf não deve ser usado diretamente por aplicativos, mas apenas por meio de um link simbólico de /etc/resolv.conf. Se este modo de operação for usado, os clientes locais que ignoram qualquer API DNS local também ignorarão o systemd-resolved e falarão diretamente com os servidores DNS conhecidos.

Alternativamente, /etc/resolv.conf pode ser gerenciado por outros pacotes, neste caso o systemd-resolved irá lê-lo para os dados de configuração do DNS. Neste modo de operação, o systemd-resolved é o consumidor e não o provedor deste arquivo de configuração.

Observe que o modo de operação selecionado para este arquivo é detectado de forma totalmente automática, dependendo se /etc/resolv.conf é um link simbólico para /run/systemd/resolve/resolv.conf ou lista 127.0.0.53 como servidor DNS.

Depois de alguma investigação e um relatório de bug do systemd, aqui está o que descobri.

O systemd-resolved obtém todas as suas informações de DNS do systemd-networkd, portanto, concentre-se no systemd-networkd, pois a correção do servidor não autorizado fluirá para o systemd-resolved.

Os dados são armazenados /var/run/systemd/netif/com um arquivo por interface. Isso é interno e está sujeito a alterações, portanto, pode ter sido movido no momento em que você leu isso, no entanto, consegui grep esses arquivos para o servidor não autorizado e exclui o arquivo que o continha. Quando reiniciei o systemd-networkd, ele recriou o arquivo excluído por completo.

No meu caso, ele recriou o arquivo com o servidor DNS desonesto ainda listado, o que significava que ele não estava sendo armazenado em cache pelo systemd, mas ainda estava sendo anunciado em algum lugar da rede.

Como era um endereço IPv6, instalei radvd(o IPv6 Router Advertisement daemon) e corri radvdumppara mostrar todos os RAs IPv6 que estavam chegando na máquina. Com certeza, em pouco tempo, um chegou com o servidor DNS desonesto listado, para que eu pudesse caçá-lo e corrigi-lo.

Caso isso não seja uma opção para você, existem algumas opções do systemd-networkd que você pode usar para contornar o problema. Estes devem ser colocados em um dos arquivos onde sua rede está configurada ( /etc/systemd/network/*.network).

# Don't use DNS servers from DHCP responses received via IPv4 (default is true)
[DHCPv4]
UseDNS=false

# Don't use DNS servers from DHCPv6 responses received via IPv6 (default is true)
[DHCPv6]
UseDNS=false

[IPv6AcceptRA]
# Don't use DNS servers from IPv6 Router Advertisement (RA) messages (default is true)
UseDNS=false
# Don't start a DHCPv6 client when an RA message is received.
DHCPv6Client=false

/etc/resolv.confnão pode ser editado diretamente. E mesmo que o faça, as alterações não terão efeito mesmo que o serviço apropriado seja reiniciado. As etapas abaixo funcionam para remover configurações de DNS indesejadas de /etc/resolv.confum arquivo Ubuntu 20.04 desktop.

1. sudo nano /etc/resolvconf/resolv.conf.d/head
2. Faça as alterações desejadas no editor nano.
3. Reinicie o serviço conforme apropriado. No meu caso foi:systemctl stop resolvconf.service;systemctl start resolvconf.service