SSH反向DNS查找

Question

我想知道为什么我要用SSH连接到服务器，它在远程服务器的IP上执行反向DNS查找。

我发现一些评论告诉我们这是出于安全原因，很多教程展示了如何禁用它，但没有解释。

谢谢

Answer 1

SSHD可以被配置为阻止对前向(A)和反向(PTR)记录不相互映射的客户端的访问。

当连接请求进入守护进程时，检查IP的反向记录: 192.168.1.1 = PTR my.domain.com

然后，它可以检查主机的正向查找记录: my.domain.com =A 192.168.1.1

如果my.domain.com不解析到192.168.1.1，那么它可以阻止连接。

这是因为很容易设置您自己的反向区域，并将PTR记录映射到您想要的任何主机名，但是要将主机名映射到IP，则需要您访问该区域的权威服务器。黑客还得做一件事才能获得访问权。

Answer 2

不清楚为什么SSH会这样做，但是如果您将一个框配置为只允许来自host.xyz.com的连接，任何人都可以配置一个框并将其命名为host.xyz.com，但是如果您可以为host.xyz.com配置一个指向1.2.3.4的前向DNS条目，而为指向host.xyz.com的4.3.2.1.inaddr.arpa配置一个PTR，那么这是一个更好的指示，表明您确实是host.xyz.com。

Answer 3

设置UseDNS=no仅禁用对正向DNS的反向DNS验证。它不禁用查询，该查询可以保证无用，并在各种混合DNS或DHCP环境中要求DNS超时。许多人对此感到困惑。

禁用DNS查找的唯一方法是使用"-u0“选项运行sshd，幸运的是，该选项通常可以嵌入/etc/sysconfig/jenkins中，行为"OPTIONS=-u9”。这种情况已经持续了20多年。