Je suis aussi en train d'essayer opennic, et maintenant que dnscrypt est dans les dépôts, j'ai essayé de passer par lui.
(aidé du site:
http://www.nurdletech.com/linux-notes/dns/dnscrypt.html)
Voici ce que j'ai actuellement:
* installation de: dnscrypt-proxy -> dnf install dnscrypt-proxy
* création d'un utilisateur/groupe dédiés: dnscrypt (compte système, en /sbin/nologin)
* unit systemd pour dnscrypt (/etc/systemd/system/dnscrypt.service + un restorecon sur ce fichier):
(les infos de ExecStart vienne en partie de:
https://github.com/KenKundert/generate-dnscrypt-cmdline.git)
[Unit]
Description=DNScrypt
Wants=network-online.target
After=network.target network-online.target
[Service]
PermissionsStartOnly = true
RuntimeDirectory=dnscrypt
ExecStart=/usr/sbin/dnscrypt-proxy --provider-key=E801:B84E:A606:BFB0:BAC0:CE43:445B:B15E:BA64:B02F:A3C4:AA31:AE10:636A:0790:324D --provider-name=2.dnscrypt-cert.fr.dnscrypt.org --resolver-address=212.47.228.136 --local-address=127.0.0.1:2053 --pidfile=/var/run/dnscrypt/dnscrypt.pid --daemonize
Restart=always
Type=forking
User=dnscrypt
PIDFile=/var/run/dnscrypt/dnscrypt.pid
[Install]
WantedBy=multi-user.target
* Si le parefeu gère les ports sortants, il faut ouvrir le port 443 en UDP (car dnscrypt-proxy fait passer les requêtes par ce port et plus par le 53 UDP)
* Modification du DNS dans NetworkManager par: 127.0.0.1 , et un: systemctl restart NetworkManager
* systemctl start dnscrypt
* systemctl enable dnscrypt
Cela fonctionne chez moi, mais il faut voir si c'est correct 🙂
Et j'ai pas encore activé le cache DNS
EDIT:
Modification pour lancer dnscrypt avec un utilisateur/groupe dédiés, et non avec nobody
Et je viens de prendre connaissance de RuntimeDirectory= , qui me permet de retirer la gestion du dossier dans /var/run ...