Мне было интересно, почему я подключаюсь к серверу по SSH, он выполняет обратный поиск DNS по IP-адресу удаленного сервера.
Я нашел комментарии, в которых говорилось, что это было из соображений безопасности, множество руководств, показывающих, как отключить его, но без объяснения.
Спасибо
SSHD можно настроить на блокировку доступа к клиентам, чьи прямые (A) и обратные (PTR) записи не сопоставляются друг с другом.
Когда приходит запрос на соединение, демон проверяет обратную запись IP: 192.168.1.1 = PTR my.domain.com
Затем он может проверить запись прямого просмотра хоста: my.domain.com = A 192.168.1.1
Если my.domain.com не разрешается до 192.168.1.1, он может заблокировать соединение.
Это связано с тем, что легко настроить собственную обратную зону и сопоставить запись PTR с любым именем хоста, которое вы хотите, но для сопоставления имени хоста с IP-адресом вам потребуется доступ к авторитетному серверу для этой зоны. Т.е. еще одна вещь, которую хакеру придется сделать, чтобы получить доступ.
Установка UseDNS = no отключает только проверку обратного DNS по отношению к прямому DNS. Он не отключает запрос, который может быть гарантированно бесполезен и требует тайм-аутов DNS в различных смешанных средах DNS или DHCP. Многих это сбивает с толку.
Единственный способ отключить поиск DNS - запустить sshd с параметром «-u0», который, к счастью, обычно можно встроить в / etc / sysconfig / jenkins с помощью строки «OPTIONS = -u9». Так было более 20 лет.
Не уверен, почему SSH делает это специально, но если вы настроите поле так, чтобы разрешать соединения только с host.xyz.com, любой может настроить поле и называть его host.xyz.com, но если вы можете иметь прямую запись DNS для host.xyz.com, указывающий на 1.2.3.4 и PTR для 4.3.2.1.in-addr.arpa, который указывает на host.xyz.com, тогда это гораздо лучший показатель того, что вы действительно являетесь host.xyz.com.
Я не уверен на 100% в ответе на этот вопрос, но полагаю, что это либо: