Por que o auth.log avisa sobre uma possível quebra na tentativa?

3

Eu tenho um servidor que recebe backups de um servidor remoto via rsync autenticado por ssh-keys. O rsync vem via um URL ddns, para uma porta encaminhada com numeração alta.

O servidor de envio está em uma linha de Internet doméstica normal, cujo fluxo é atribuído pelo IP a um IP dinâmico. O IP da conexão de envio mudou cerca de uma semana atrás e, desde então, /var/log/auth.log contém a seguinte mensagem sempre que a conexão ssh é iniciada. Verifiquei se o novo endereço IP pertence ao site em que o servidor de envio está localizado.

Apr 11 08:30:15 someserver sshd[25447]: reverse mapping checking getaddrinfo for hostXXX-XXX-XXX-XXX.some.isp-name.com [XXX.XXX.XXX.XXX] failed - POSSIBLE BREAK IN ATTEMPT!

O que está causando esse aviso e há algo que eu poderia / deveria ter feito para evitar isso?

    
O
por Arronical 12.04.2016 / 14:33

1 resposta

2

O comentário no código explica bem:

/*
 * Map it back to an IP address and check that the given
 * address actually is an address of this host.  This is
 * necessary because anyone with access to a name server can
 * define arbitrary names for an IP address. Mapping from
 * name to IP address can be trusted better (but can still be
 * fooled if the intruder has access to the name server of
 * the domain).
 */

Basicamente, como descrito nos comentários. Este é um segmento significativo se você tiver acesso com base no IP de origem ( HostBased authentication). É menos significativo se você tiver algum filtro ou algo assim.

Se você não gostar deste erro, poderá sempre usar UseDNS no no seu sshd_config e essa mensagem deverá desaparecer.

    
por Jakuje 12.04.2016 / 18:15