আমি জানি এটি কী করে, তবে কেন জানি না । কোন আক্রমণ (গুলি) এটি প্রতিরোধ করে?
এটি কি সমস্ত ধরণের প্রমাণীকরণ পদ্ধতির জন্য প্রাসঙ্গিক? (হোস্টবেসড, পাসওয়ার্ড, পাবলিককি, কীবোর্ড-ইন্টারেক্টিভ ...)
আমি জানি এটি কী করে, তবে কেন জানি না । কোন আক্রমণ (গুলি) এটি প্রতিরোধ করে?
এটি কি সমস্ত ধরণের প্রমাণীকরণ পদ্ধতির জন্য প্রাসঙ্গিক? (হোস্টবেসড, পাসওয়ার্ড, পাবলিককি, কীবোর্ড-ইন্টারেক্টিভ ...)
উত্তর:
UseDNS
বিকল্প বেশিরভাগই অনর্থক। যদি ক্লায়েন্ট মেশিনগুলি ইন্টারনেটে বাইরে থাকে তবে তাদের পক্ষে কোনও বিপরীত ডিএনএস না থাকার উচ্চ সম্ভাবনা রয়েছে, তাদের বিপরীত ডিএনএস এগিয়ে সমাধান করে না, বা তাদের ডিএনএস "এ সম্পর্কিত এটি ব্যতীত অন্য কোনও তথ্য সরবরাহ করে না" আইএসপি ”যা আপনাকে ইতিমধ্যে আইপি ঠিকানা বলেছে।
সাধারণ কনফিগারেশনে, ডিএনএস কেবল লগিংয়ের জন্য ব্যবহৃত হয়। এটি প্রমাণীকরণের জন্য ব্যবহার করা যেতে পারে, তবে কেবলমাত্র যদি IgnoreRhosts no
নির্দিষ্ট করা থাকে sshd_config
। এই পুরানো ইনস্টল করে rsh, তুমি কোথায় বলতে পারেন "ব্যবহারকারীর নামক ব্যবহৃত উপযুক্ততার জন্য bob
মেশিন নামক darkstar
হিসাবে লগ ইন করতে পারেন alice
কোনো পরিচয়পত্র দেখিয়ে" (লিখে darkstar bob
মধ্যে ~alice/.rhosts
)। এটি কেবলমাত্র নিরাপদ যদি আপনি সমস্ত মেশিনকে বিশ্বাস করেন যে সম্ভবত ssh সার্ভারের সাথে সংযুক্ত হতে পারে। অন্য কথায়, এটি নিরাপদ উপায়ে খুব কমই ব্যবহারযোগ্য।
ডিএনএস লুকআপ খুব অদ্ভুত পরিস্থিতিতে ব্যতীত কোনও দরকারী তথ্য সরবরাহ করে না তা প্রদত্ত হওয়া উচিত। আমি যতদূর বলতে পারি, এটি ডিফল্টরূপে চালু হওয়ার একমাত্র কারণ হ'ল এটি প্রযুক্তিগতভাবে আরও সুরক্ষিত (যদি আপনি প্রমাণীকরণের বিষয়ে উদ্বিগ্ন হন তবে উপলব্ধি না), যদিও এটি কেবল সামান্য সংখ্যক পরিস্থিতিতেই প্রযোজ্য।
এই বৈশিষ্ট্যটি বন্ধ করার জন্য আর একটি যুক্তি হ'ল প্রতিটি অতিরিক্ত অতিরিক্ত বৈশিষ্ট্য হ'ল একটি অপ্রয়োজনীয় সুরক্ষা ঝুঁকি ।
UseDNS
এমনকি যদি আপনি কী-ভিত্তিক হোস্ট প্রমাণীকরণ ব্যবহার করেন তবে তা কার্যকর নয় , কেবলমাত্র যদি আপনি হোস্টনাম-ভিত্তিক হোস্ট প্রমাণীকরণ (যেমন অত্যন্ত দুর্বল প্রমাণীকরণ) ব্যবহার করেন।
UseDNS
এটি খুব দরকারী এবং সমালোচনামূলক। আপনি কী এবং ভিত্তি করে একটি ম্যাক ঠিকানায় নির্ধারিত হোস্টনামের উপর ভিত্তি করে একটি ব্যবহারকারীর প্রমাণীকরণ করেন।
আমি এই সম্পর্কে উবুন্টুতে একটি বাগ রিপোর্টে (পুরানো তবে এখনও স্রোত) যুক্ত করেছি।
https://bugs.launchpad.net/ubuntu/+source/openssh/+bug/424371
আমি ডিফল্টটিকে No এ পরিবর্তন করার এবং এটিতে আরও নতুন ডকুমেন্টেশন যুক্ত করার প্রস্তাব দিয়েছি:
# UseDNS - Determines whether IP Address to Hostname lookup and comparison is performed
# Default value is No which avoids login delays when the remote client's DNS cannot be resolved
# Value of No implies that the usage of "from=" in authorized_keys will not support DNS host names but only IP addresses.
# Value of Yes supports host names in "from=" for authorized_keys. Additionally if the remote client's IP address does not match the resolved DNS host name (or could not be reverse lookup resolved) then a warning is logged.
এর ম্যানপেজ থেকে sshd_config(5)
:
UseDNS Specifies whether sshd(8) should look up the remote host name and
check that the resolved host name for the remote IP address maps
back to the very same IP address. The default is “yes”.
এটিকে সক্ষম করা সঠিক (ফরোয়ার্ড এবং বিপরীত) ছাড়াই কোনও অবস্থান থেকে অ্যাক্সেস তৈরি করে লগগুলিতে একটি সতর্কতা উত্পন্ন করে।
সুতরাং এটি কোনও আক্রমণকে আটকায় না except এই ধরনের সতর্কতা আপনাকে কেবল আক্রমণকারীর সন্ধানে সহায়তা করতে পারে যদি সেই পিটিআর রেকর্ডটি কোনও অর্থ দেয়।
সম্পাদনা: অ্যান্ড্রে ভয়েটেনকভের মন্তব্য অনুসারে আপডেট হয়েছে ।
from=
যদি প্রশ্নে অনুমোদিত চাবি (যদি ব্যবহৃত হয়) এর আগে ক্ষেত্রের মানগুলিকে ফাঁকি না দিতে পারে ততক্ষণ অনুমোদিত কীটি আপস করা থাকলে এটি অ্যাক্সেস আটকাতে পারে না ।
আপনি যখন কোনও অনুমোদিত_কিজ ফাইলগুলিতে এফআরএম বিকল্পটি ব্যবহার করেন তখন এটি প্রয়োজন হয় এবং আপনি কেবল আইপি নয়, নাম দিয়ে ফিল্টার করতে চান।
কোনও অনুমোদিত_কিজ ফাইলের একটি লাইনে FROM বিকল্প আপনাকে একটি নির্দিষ্ট কী ব্যবহার করতে পারে এমন হোস্টগুলিকে সীমাবদ্ধ করতে দেয়।
এটি সাধারণত কোনও মেশিনের ক্লোনকে তার উত্সটি তৈরি করে, সাধারণত অজান্তেই (বাকী ক্রন্টাবগুলি, মানুষের ত্রুটি) তৈরি করে একে অপরের অ্যাক্সেস করে এমন একাধিক সার্ভার পরিচালনার দক্ষতা বৃদ্ধি করে।
আমি যে যোগ করার জন্য সেন্টওএস 7 (7.1.1503) এবং অত: পর রেড হ্যাট Enterprise Linux 7 চাই, আমার বয়স অক্ষম ডিফল্ট সেটিং দিয়ে লগ ইন yes
জন্য UseDNS
। এটিকে নিরবিচ্ছিন্ন করার পরে এবং সেট করার পরে no
, আমি লগ ইন করতে সক্ষম হয়েছি Thus সুতরাং এটি প্রদর্শিত হয় যে ডিএনএস সঠিকভাবে কাজ না করা থাকলে একটি সত্যিই পরিষেবা অস্বীকার করা যেতে পারে! CentOS 6 এ, এটি ডিফল্ট হিসাবে উপস্থিত হয় no
এবং তাই ssh
কোনও ডিএনএসের সাথে আমি কাজ করতে পারি না !
আমি যুক্ত করতে চাই যে আমার পরীক্ষাটি এলএক্সসি পাত্রে ছিল, শারীরিক মেশিনে নয়, যদি কোনও পার্থক্য আসে!