每当我SSH某处我在日志中得到这样的东西:
sshd[16734]: reverse mapping checking getaddrinfo for 1.2.3.4.crummyisp.net [1.2.3.4] failed - POSSIBLE BREAK-IN ATTEMPT! 这是正确的:如果我做host 1.2.3.4它返回1.2.3.4.crummyisp.net ,但如果我做host 1.2.3.4.crummyisp.net没有find。
我有两个问题:
有什么安全威胁? 如何能够以某种威胁方式伪造单向DNS?
我有任何解决这个问题的办法吗? 我会给我的ISP发送一个错误报告,但是谁知道会发生什么。
有什么安全威胁?
如何能够以某种威胁方式伪造单向DNS?
任何控制DNS反向区域的方都可以将其PTRlogging设置为任何他们想要的。 可以想象,有人可以将他们的PTRlogging设置为legithost.example.com ,然后尝试蛮横地进入你的环境。
如果你的胖手指用户往往会输错密码,而且缺less反暴力措施,那么从legithost.example.cominput失败密码的日志条目可以被解除为“哦,那只是鲍勃 – 他不能打字来挽救他的生命!“ 并让攻击者有机会猜测密码直到他们进入。
(这个消息的理论安全性好处是攻击者不能在你的DNS区创build/更改legithost.example.com的Alogging,所以他不能对这个警告消失 – 没有某种DNS中毒攻击。 ..)
我有任何解决这个问题的办法吗?
选项1:修复您的DNS,使正向( A )和反向( PTR )logging匹配。
选项2:将UseDNS no添加到系统的sshd_config文件中,以closures警告。