Назад | Перейти на главную страницу

SSH обратный поиск DNS

Мне было интересно, почему я подключаюсь к серверу по SSH, он выполняет обратный поиск DNS по IP-адресу удаленного сервера.

Я нашел комментарии, в которых говорилось, что это было из соображений безопасности, множество руководств, показывающих, как отключить его, но без объяснения.

Спасибо

SSHD можно настроить на блокировку доступа к клиентам, чьи прямые (A) и обратные (PTR) записи не сопоставляются друг с другом.

Когда приходит запрос на соединение, демон проверяет обратную запись IP: 192.168.1.1 = PTR my.domain.com

Затем он может проверить запись прямого просмотра хоста: my.domain.com = A 192.168.1.1

Если my.domain.com не разрешается до 192.168.1.1, он может заблокировать соединение.

Это связано с тем, что легко настроить собственную обратную зону и сопоставить запись PTR с любым именем хоста, которое вы хотите, но для сопоставления имени хоста с IP-адресом вам потребуется доступ к авторитетному серверу для этой зоны. Т.е. еще одна вещь, которую хакеру придется сделать, чтобы получить доступ.

Установка UseDNS = no отключает только проверку обратного DNS по отношению к прямому DNS. Он не отключает запрос, который может быть гарантированно бесполезен и требует тайм-аутов DNS в различных смешанных средах DNS или DHCP. Многих это сбивает с толку.

Единственный способ отключить поиск DNS - запустить sshd с параметром «-u0», который, к счастью, обычно можно встроить в / etc / sysconfig / jenkins с помощью строки «OPTIONS = -u9». Так было более 20 лет.

Не уверен, почему SSH делает это специально, но если вы настроите поле так, чтобы разрешать соединения только с host.xyz.com, любой может настроить поле и называть его host.xyz.com, но если вы можете иметь прямую запись DNS для host.xyz.com, указывающий на 1.2.3.4 и PTR для 4.3.2.1.in-addr.arpa, который указывает на host.xyz.com, тогда это гораздо лучший показатель того, что вы действительно являетесь host.xyz.com.

Я не уверен на 100% в ответе на этот вопрос, но полагаю, что это либо:

  • Отображать правый заголовок в строке заголовка
  • Чтобы узнать, установлен ли для этого хоста закрытый ключ.