6 votes

Martin Trigaux avatar

Recherche DNS inverse en SSH

Demandé el 26 de Novembre, 2010
Quand la question a-t-elle été
4286 affichage
Nombre de visites la question a
4 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Je me demandais pourquoi lorsque je me connecte à un serveur avec SSH, il effectue une recherche DNS inverse sur l'IP du serveur distant.

J'ai trouvé des commentaires disant que c'était pour des raisons de sécurité, beaucoup de tutoriels montrant comment le désactiver mais aucune explication.

Merci.

Demandé el 26 de Novembre, 2010 par Martin Trigaux

Réponses

Trop de publicités?

4voto

btk_ avatar
btk_ Points 333

Le SSHD peut être configuré pour bloquer l'accès aux clients dont les enregistrements forward(A) et reverse(PTR) ne correspondent pas l'un à l'autre.

Lorsque la demande de connexion arrive, le démon vérifie l'enregistrement inverse de l'IP : 192.168.1.1 = PTR mon.domaine.com

Il peut alors vérifier le forward lookup record de l'hôte : mon.domaine.com = A 192.168.1.1

Si my.domain.com ne résout pas l'adresse 192.168.1.1, il peut bloquer la connexion.

En effet, il est facile de configurer sa propre zone inverse et d'associer un enregistrement PTR à n'importe quel nom d'hôte, mais pour associer le nom d'hôte à l'adresse IP, il faut avoir accès au serveur faisant autorité pour cette zone. C'est une chose de plus qu'un pirate devrait faire pour avoir accès.

Répondu el 26 de Novembre, 2010 par btk_ (333 Points )

1voto

flooble avatar
flooble Points 2364

Je ne suis pas sûr de la raison pour laquelle SSH le fait spécifiquement, mais si vous configurez une boîte pour n'autoriser que les connexions à partir de host.xyz.com, n'importe qui peut configurer une boîte et l'appeler host.xyz.com, mais si vous pouvez avoir une entrée DNS forward pour host.xyz.com qui pointe vers 1.2.3.4 et un PTR pour 4.3.2.1.in-addr.arpa qui pointe vers host.xyz.com alors c'est une bien meilleure indication que vous êtes vraiment host.xyz.com.

Répondu el 26 de Novembre, 2010 par flooble (2364 Points )

1voto

Nico Kadel-Garcia avatar
Nico Kadel-Garcia Points 11

Le paramètre UseDNS=no désactive uniquement la vérification du reverse DNS par rapport au forward DNS. Il ne désactive pas la requête, qui peut être garantie inutile et nécessiter des délais d'attente DNS dans divers environnements mixtes DNS ou DHCP. De nombreuses personnes sont confuses à ce sujet.

La seule façon de désactiver les recherches DNS est d'exécuter sshd avec l'option "-u0", qui heureusement peut généralement être intégrée dans /etc/sysconfig/jenkins avec la ligne "OPTIONS=-u9". C'est le cas depuis plus de 20 ans.

Répondu el 28 de Mai, 2020 par Nico Kadel-Garcia (11 Points )

0voto

chrism2671 avatar
chrism2671 Points 2499

Je ne suis pas sûr à 100% de la réponse à cette question, mais j'imagine que c'est à l'un ou l'autre :

  • Afficher le titre de droite dans la barre de titre
  • Pour voir si une clé privée est installée pour cet hôte.
Répondu el 26 de Novembre, 2010 par chrism2671 (2499 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X