Mike Kuketz
2. August 2017 | 08:23 Uhr

Debian: Google DNS in systemd

Gestern kam die Frage per E-Mail, ob systemd »hartcodierte« DNS-Server von Google nutzt. Im Quelltext habe ich nichts dazu gefunden. Es scheint sich um Build-Options zu handeln, die jede Distribution bzw. Paketbauer selbst definieren / überschreiben kann:

option('dns-servers', type : 'string',
       description : 'space-separated list of default DNS servers',
       value : '8.8.8.8 8.8.4.4 2001:4860:4860::8888 2001:4860:4860::8844')
option('ntp-servers', type : 'string',
       description : 'space-separated list of default NTP servers',
       value : 'time1.google.com time2.google.com time3.google.com time4.google.com')

Die Paketbauer bei Debian (Jessie) haben diese Werte offenbar ersetzt.

cat /etc/systemd/resolved.conf

Da wird folgende Zeile nicht ausgegeben:

FallbackDNS=8.8.8.8 8.8.4.4 2001:4860:4860::8888 2001:4860:4860::8844

Und wann greift nun dieser FallbackDNS vom Dienst systemd-resolved überhaupt?

  • Wenn kein DNS per DHCP gesetzt wird
  • Wenn kein DNS in der Datei /etc/resolv.conf konfiguriert ist
  • Wenn systemd-resolved für die interne DNS Namensauflösung genutzt wird (das heißt der Dienst aktiv ist, was bei Debian nicht der Fall ist)
  • Wenn systemd-resolved nicht anders konfiguriert wurde (vom Paketbauer oder per Policy) und kein DNS für das betroffene System verfügbar ist (invalide Werte über DHCP oder kein resolv.conf Eintrag)

Die Wahrscheinlichkeit, dass der Fallback greift sind verschwindend gering. Die Standard Build-Options von systemd sind dennoch fragwürdig. Warum müssen es denn die »datenschutzfreundlichen« Google-DNS Server sein? Wie der FallbackDNS Parameter auf anderen Systemen gesetzt ist, kann ich nicht sagen. Für Arch-Linux habe ich Folgendes gefunden – ihr solltet das nochmal selbst für eure Distribution prüfen.

Hilf mit die Spendenziele zu erreichen! Mitmachen ➡
Ähnliche Beiträge
CalyxOS
10. Februar 2023

CalyxOS: De-Googled geht anders – Custom-ROMs Teil2

Die Analyse des Datensendeverhaltens zeigt: CalyxOS ist leider nicht so de-googled, wie man vermuten würde.
TC-String
26. April 2022

Der TC-String des Interactive Advertising Bureau (IAB) – Teil2

Der TC-String des Interactive Advertising Bureau ist als personenbezogenes Datum einzuordnen.
Pi-hole, Unbound & Hyperlocal
12. März 2019

Pi-hole, Unbound & Hyperlocal: Keine Werbung – Größtmögliche Unabhängigkeit

Mit dem Pi-hole, Unbound & Hyperlocal zur größtmöglichen, werbefreien Unabhängigkeit in der DNS-Welt.
OpenWrt-Stubby
26. November 2019

Stubby: Verschlüsselte DNS-Anfragen – OpenWrt Teil5

Mit dem Addon stubby für OpenWrt lassen sich alle DNS-Anfragen und -Antworten über eine TLS-gesicherte Verbindung übertragen.
Microsoft Edge
17. Mai 2021

Microsoft Edge: Datensendeverhalten Desktop-Version – Browser-Check Teil4

Der Browser Microsoft Edge ist ein schwerer Datenschutzunfall. Selbst im privaten Modus wird die komplette URL in die Microsoft-Cloud übermittelt.
Wissenswertes

Immer aktuell

Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten dem Blog zu folgen:


Bleib aktuell ➡

Weitersagen

Wenn dir der Beitrag gefallen hat, dann teile ihn mit deinen Freunden, Bekannten und Mitmenschen. Nutze dafür soziale Medien (datenschutzfreundlich via Mastodon), Foren, Messenger, E-Mails oder einfach die nächste Feier / Veranstaltung.