每当我在某个地方 SSH 时,我都会在日志中得到类似的信息:
sshd[16734]: reverse mapping checking getaddrinfo for
1.2.3.4.crummyisp.net [1.2.3.4] failed - POSSIBLE BREAK-IN ATTEMPT!
这是正确的:如果我这样做,host 1.2.3.4它会返回1.2.3.4.crummyisp.net,但如果我这样做,host 1.2.3.4.crummyisp.net它就不会被找到。
我有两个问题:
有什么安全威胁?怎么会有人以某种威胁的方式伪造单向 DNS?
我有办法解决这个问题吗?我会向我的 ISP 发送错误报告,但谁知道会去哪里。
有什么安全威胁?
怎么会有人以某种威胁的方式伪造单向 DNS?
任何控制 DNS 反向区域的一方都可以将他们的 PTR 记录设置为他们想要的任何内容。可以想象,有人可以将他们的 PTR 记录设置为legithost.example.com,然后尝试蛮力进入您的环境。
如果您的手指粗大的用户往往会错误地输入密码,并且缺乏反暴力措施,那么来自 的一堆失败密码的日志条目legithost.example.com可能会被忽略为“哦,那只是鲍勃 - 他无法输入救他一命!” 并让攻击者有机会继续猜测密码,直到他们进入。
(此消息的理论上的安全优势是攻击者无法在您的 DNS 区域中创建/更改A记录legithost.example.com,因此他无法消除警告 - 没有某种 DNS 中毒攻击......)
我有办法解决这个问题吗?
选项 1:修复您的 DNS,使正向 ( A) 和反向 ( PTR) 记录匹配。
选项 2:添加UseDNS no到系统sshd_config文件以关闭警告。
| 归档时间: |
|
| 查看次数: |
11443 次 |
| 最近记录: |