web-dev-qa-db-fra.com

Pourquoi auth.log met-il en garde contre une tentative d'intrusion?

J'ai un serveur qui reçoit des sauvegardes d'un serveur distant via rsync authentifié par ssh-keys. Le rsync vient via une URL ddns, vers un port transféré avec un nombre élevé.

Le serveur d'envoi est sur une ligne Internet domestique normale, à laquelle le fournisseur de services Internet attribue une adresse IP dynamique. L'adresse IP de la connexion d'envoi a changé il y a environ une semaine et depuis lors, /var/log/auth.log a contenu le message suivant à chaque fois que la connexion SSH est initiée. J'ai vérifié que la nouvelle adresse IP appartient bien au site sur lequel se trouve le serveur d'envoi.

Apr 11 08:30:15 someserver sshd[25447]: reverse mapping checking getaddrinfo for hostXXX-XXX-XXX-XXX.some.isp-name.com [XXX.XXX.XXX.XXX] failed - POSSIBLE BREAK IN ATTEMPT!

Qu'est-ce qui cause cet avertissement et y a-t-il quelque chose que je pourrais/devrais faire pour l'éviter?

2
Arronical

Le commentaire dans le code l'explique bien:

/*
 * Map it back to an IP address and check that the given
 * address actually is an address of this Host.  This is
 * necessary because anyone with access to a name server can
 * define arbitrary names for an IP address. Mapping from
 * name to IP address can be trusted better (but can still be
 * fooled if the intruder has access to the name server of
 * the domain).
 */

Fondamentalement, comme décrit dans les commentaires. C'est un fil significatif si vous avez un accès basé sur l'IP source (HostBased authentification). C'est moins important si vous avez un filtrage ou à peu près.

Si vous n'aimez pas cette erreur, vous pouvez toujours utiliser UseDNS no dans votre sshd_config et ce message devrait disparaître.

1
Jakuje