───────────────────────────────────────────────────────┐
│              🛡️ 系统安全状态（最终版）                    │
├─────────────────────────────────────────────────────────┤
│  dnsmasq 2.92rel2                                       │
│  ├─ CVE-2026-2291 (DNS缓存投毒)          ✅ 已修复       │
│  ├─ CVE-2026-4890 (DNSSEC DoS)           ✅ 已修复       │
│  ├─ CVE-2026-4891 (DNSSEC越界读取)       ✅ 已修复       │
│  ├─ CVE-2026-4892 (DHCPv6提权)           ✅ 已修复       │
│  ├─ CVE-2026-4893 (ECS绕过)              ✅ 已修复       │
│  ├─ CVE-2026-5172 (DNS解析DoS)           ✅ 已修复       │
│  ├─ DBus 支持                            ✅ 已开启       │
│  └─ DNSSEC 支持                          ✅ 已开启       │
├─────────────────────────────────────────────────────────┤
│  内核 (6.12.20-desktop-amd64)                           │
│  ├─ CVE-2026-31431 (Copy Fail)           ✅ 已修复       │
│  ├─ CVE-2026-43284 (Dirty Frag - ESP)    ✅ 已修复       │
│  └─ CVE-2026-43500 (Dirty Frag - RxRPC)  ✅ 已修复       │
├─────────────────────────────────────────────────────────┤
│  防火墙 (iptables-nft)                     ✅ 运行中  

🔒 已修复的漏洞（共10个）

类型	CVE 编号	描述
dnsmasq	CVE-2026-2291	DNS域名解析堆缓冲区溢出（DNS缓存投毒）
dnsmasq	CVE-2026-4890	DNSSEC NSEC/NSEC3 无限循环（DoS）
dnsmasq	CVE-2026-4891	DNSSEC RRSIG 越界读取（DoS）
dnsmasq	CVE-2026-4892	DHCPv6 客户端标识缓冲区溢出（本地提权）
dnsmasq	CVE-2026-4893	EDNS Client Subnet 安全检查绕过
dnsmasq	CVE-2026-5172	DNS资源记录解析越界读取（DoS）
内核	CVE-2026-31431	Copy Fail (algif_aead)
内核	CVE-2026-43284	Dirty Frag - ESP (esp4/6)
内核	CVE-2026-43500	Dirty Frag - RxRPC (af_rxrpc)
历史漏洞	多个	dnsmasq 2.86 旧版本的其他漏洞

🛡️ 已启用的安全功能

• DNSSEC：DNS 查询结果真实性验证
• DBus：服务管理与监控接口
• iptables-nft 防火墙：多层网络攻击防护
• 内核加固参数：SYN Cookie、反向路径过滤等

hermes@hermes-PC:$ # 锁定 dnsmasq，防止系统更新时覆盖
sudo apt-mark hold dnsmasq
请验证人脸或密码:验证成功
dnsmasq 已经设置为保留。
hermes@hermes-PC:$ # 删除源码目录和压缩包
cd /tmp
rm -rf /tmp/dnsmasq-2.92rel2
rm -f /tmp/dnsmasq-2.92rel2.tar.xz

验证清理完成

ls -la /tmp/dnsmasq* 2>/dev/null && echo "还有残留" || echo "✅ 临时文件已清理干净"
✅ 临时文件已清理干净
hermes@hermes-PC:/tmp$ # 1. 检查服务状态
sudo systemctl status dnsmasq --no-pager

2. 测试 DNS 解析

nslookup google.com 127.0.0.1

3. 检查 DBus 接口（可选）

busctl list | grep -i dnsmasq

4. 检查 DNSSEC 状态（需配置 dnsmasq 开启 DNSSEC）

在 /etc/dnsmasq.conf 中添加：

dnssec

dnssec-check-unsigned

trust-anchor=.,...,...

● dnsmasq.service - dnsmasq - A lightweight DHCP and caching DNS server
Loaded: loaded (/usr/lib/systemd/system/dnsmasq.service; enabled; preset: enabled)
Active: active (running) since Fri 2026-05-15 20:42:05 CST; 25min ago
Process: 12948 ExecStartPre=/etc/init.d/dnsmasq checkconfig (code=exited, status=0/SUCCESS)
Process: 12952 ExecStart=/etc/init.d/dnsmasq systemd-exec (code=exited, status=0/SUCCESS)
Process: 12958 ExecStartPost=/etc/init.d/dnsmasq systemd-start-resolvconf (code=exited, status=0/SUCCESS)
Main PID: 12957 (dnsmasq)
Tasks: 1 (limit: 28268)
Memory: 528.0K (peak: 2.5M)
CPU: 49ms
CGroup: /system.slice/dnsmasq.service
└─12957 /usr/sbin/dnsmasq -x /run/dnsmasq/dnsmasq.pid -u dnsmasq -7 /etc/dnsmasq.d,.dpkg-dist,.d…

5月 15 20:42:05 hermes-PC systemd[1]: Starting dnsmasq.service - dnsmasq - A lightweight DHCP and cac…rver...
5月 15 20:42:05 hermes-PC dnsmasq[12957]: started, version 2.92rel2 cachesize 150
5月 15 20:42:05 hermes-PC dnsmasq[12957]: DNS service limited to local subnets
5月 15 20:42:05 hermes-PC dnsmasq[12957]: compile time options: IPv6 GNU-getopt DBus no-UBus no-i18n …umpfile
5月 15 20:42:05 hermes-PC dnsmasq[12957]: reading /etc/resolv.conf
5月 15 20:42:05 hermes-PC dnsmasq[12957]: using nameserver 192.168.3.1#53
5月 15 20:42:05 hermes-PC dnsmasq[12957]: read /etc/hosts - 9 names
5月 15 20:42:05 hermes-PC systemd[1]: Started dnsmasq.service - dnsmasq - A lightweight DHCP and cach…server.
Hint: Some lines were ellipsized, use -l to show in full.
Server: 127.0.0.1
Address: 127.0.0.1#53

Non-authoritative answer:
Name: google.com
Address: 142.250.66.78
Name: google.com
Address: 2404:6800:4012:5::200e

hermes@hermes-PC:/tmp$