Ne yaptığını biliyorum ama nedenini bilmiyorum . Hangi saldırıları engeller?
Her türlü kimlik doğrulama yöntemiyle alakalı mı? (ana bilgisayar tabanlı, şifre, publickey, klavye etkileşimli ...)
Ne yaptığını biliyorum ama nedenini bilmiyorum . Hangi saldırıları engeller?
Her türlü kimlik doğrulama yöntemiyle alakalı mı? (ana bilgisayar tabanlı, şifre, publickey, klavye etkileşimli ...)
Yanıtlar:
UseDNS
Seçenek çoğunlukla işe yaramaz. İstemci makineleri orada Internet’te bulunuyorsa, ters DNS’leri olma ihtimali yüksek, ters DNS’leri ileriye çözümlemiyor veya DNS’leri “buna ait” dışında herhangi bir bilgi sağlamıyor IP adresinin zaten söylediği “ISS”.
Tipik yapılandırmalarda, DNS yalnızca günlük kaydı için kullanılır. Kimlik doğrulama için kullanılabilir, ancak yalnızca IgnoreRhosts no
içinde belirtilmişse sshd_config
. Bu “denilen kullanıcı söyleyebiliriz rsh, kullanılan eski tesisler ile uyumluluk içindir bob
denilen makinede darkstar
olarak giriş yapabilirsiniz alice
(yazarak herhangi bir kimlik göstermeden” darkstar bob
in ~alice/.rhosts
). Yalnızca ssh sunucusuna bağlanmış olabilecek tüm makinelere güveniyorsanız güvenlidir. Başka bir deyişle, bu çok nadiren güvenli bir şekilde kullanılabilir.
DNS aramasının çok özel durumlar dışında hiçbir yararlı bilgi sağlamadığı göz önüne alındığında, kapatılması gerekir. Söyleyebileceğim kadarıyla, varsayılan olarak açık olmasının tek nedeni, teknik olarak daha güvenli olması (kimlik doğrulaması konusunda endişe duyuyorsanız, kullanılabilirliği değil), sadece küçük bir koşul kümesi için geçerli olmasına rağmen.
Bu özelliği kapatmak için başka bir argüman, gereksiz her özelliğin gereksiz bir güvenlik riski olduğudur .
UseDNS
kullanışsız bile olabilir .
UseDNS
çok yararlı ve önemlidir. Bir MAC adresine atanmış anahtar ve kullanıcının ana bilgisayar adına göre sunucu kimliğini doğrularsınız.
Bu konuda Ubuntu'da bir hata raporuna (eski ama hala güncel) ekledim.
https://bugs.launchpad.net/ubuntu/+source/openssh/+bug/424371
Varsayılanı Hayır olarak değiştirmeyi ve yeni belgeler eklemeyi önerdim:
# UseDNS - Determines whether IP Address to Hostname lookup and comparison is performed
# Default value is No which avoids login delays when the remote client's DNS cannot be resolved
# Value of No implies that the usage of "from=" in authorized_keys will not support DNS host names but only IP addresses.
# Value of Yes supports host names in "from=" for authorized_keys. Additionally if the remote client's IP address does not match the resolved DNS host name (or could not be reverse lookup resolved) then a warning is logged.
Man sayfasından sshd_config(5)
:
UseDNS Specifies whether sshd(8) should look up the remote host name and
check that the resolved host name for the remote IP address maps
back to the very same IP address. The default is “yes”.
Bunu etkinleştirmek, bir konumdan uygun bir şekilde (ileri ve geri) erişim sağlar DNS, günlüklerde bir uyarı oluşturur.
Bu, herhangi bir uyarıyı kaydetmemek için müşterinin nitelikli bir uzak adresine ihtiyaç duyması dışında herhangi bir saldırıyı önlemez. Böyle bir uyarı, ancak PTR kaydının herhangi bir anlamı varsa, saldırganın izini sürmenize yardımcı olabilir.
düzenleme: Andrey Voitenkov'un yorumuna göre güncellendi .
from=
konusu yetkili anahtarın önündeki alandaki değerleri taklit edemediği sürece (kullanılmışsa) aldatmadığı sürece erişim yetkisine sahip değildir .
Author_keys dosyasında FROM seçeneğini kullandığınızda ve sadece IP'leri değil adlara göre filtrelemek istediğinizde bu gereklidir.
Yetkili_key dosyası dosyasının satırındaki FROM seçeneği, belirli bir anahtarı kullanabilecek ana bilgisayarları sınırlamanıza izin verir.
Bu, bir makinenin klonlarının, genellikle istemeden (artık crontabs, insan hatası) kaynağını taklit etmesine izin vermeden birbirine erişimi olan birden çok sunucuyu yönetme yeteneğini artırır.
Ben CentOS 7 (1503/07/01) ve dolayısıyla Red Hat Enterprise Linux 7 eklemek istiyorum, ben yapamaz varsayılan ayarı ile oturum yes
için UseDNS
. Açılmadan ve ayarladıktan sonra no
, giriş yapmayı başardım. Böylece, DNS düzgün çalışmıyorsa, birinin gerçekten hizmet reddedildiği anlaşılıyor! CentOS 6’da göründüğü kadarıyla varsayılan no
ve bu nedenle de ssh
çalışan bir DNS olmadan içeri girebiliyorum !
Bir fark yaratabilirse denememin fiziksel makinede değil LXC kaplarda olduğunu da eklemek isterim!