Pourquoi auth.log met-il en garde contre une tentative d'intrusion?
J'ai un serveur qui reçoit des sauvegardes d'un serveur distant via rsync authentifié par ssh-keys. Le rsync vient via une URL ddns, vers un port transféré avec un nombre élevé.
Le serveur d'envoi est sur une ligne Internet domestique normale, à laquelle le fournisseur de services Internet attribue une adresse IP dynamique. L'adresse IP de la connexion d'envoi a changé il y a environ une semaine et depuis lors, /var/log/auth.log a contenu le message suivant à chaque fois que la connexion SSH est initiée. J'ai vérifié que la nouvelle adresse IP appartient bien au site sur lequel se trouve le serveur d'envoi.
Apr 11 08:30:15 someserver sshd[25447]: reverse mapping checking getaddrinfo for hostXXX-XXX-XXX-XXX.some.isp-name.com [XXX.XXX.XXX.XXX] failed - POSSIBLE BREAK IN ATTEMPT!
Qu'est-ce qui cause cet avertissement et y a-t-il quelque chose que je pourrais/devrais faire pour l'éviter?
Le commentaire dans le code l'explique bien:
/*
* Map it back to an IP address and check that the given
* address actually is an address of this Host. This is
* necessary because anyone with access to a name server can
* define arbitrary names for an IP address. Mapping from
* name to IP address can be trusted better (but can still be
* fooled if the intruder has access to the name server of
* the domain).
*/
Fondamentalement, comme décrit dans les commentaires. C'est un fil significatif si vous avez un accès basé sur l'IP source (HostBased authentification). C'est moins important si vous avez un filtrage ou à peu près.
Si vous n'aimez pas cette erreur, vous pouvez toujours utiliser UseDNS no dans votre sshd_config et ce message devrait disparaître.