SSHログイン時に「POSSIBLE BREAK-IN ATTEMPT!」とメッセージが出たら

SSHログイン時に、次のようなアラートメッセージが記録されることがある。

10:42:23 dacelo sshd[36380]: reverse mapping checking getaddrinfo for dacelo.info [210.123.456.789] failed - POSSIBLE BREAK-IN ATTEMPT!

これは、接続しようとしているIPに逆引き設定がない場合に発生する。POSSIBLE BREAK-IN ATTEMPT!…「侵入の可能性!」と仰々しいメッセージだが、必ずしも侵入や攻撃を意味するものではない。
これについては、RedHatの公式サポートにある説明がわかりやすい。

原因

  • このメッセージが表示された状況では何らかの 「攻撃」が行われていることを表すものではないことが考えられます。
  • SSH クライアントの逆引き DNS (PTR) レコードが、クライアントが自身を特定するのに使用するホスト名に一致しません。
  • これは、逆引き DNS レコードがなかったり、逆引き DNS レコードが異なるのが原因である可能性があります。
  • このメッセージは、特に SSH クライアントが逆引き DNS レコードを管理しない公共のインターネット接続で一般的です。
  • SSH サーバーの /etc/hosts ファイルで、SSH クライアントに別の IP アドレスまたはホストが設定されているため、 外部 DNS クエリーがない SSHD での検索が一致しません。検索の順番は、/etc/nsswitch.confhosts エントリーの順番によって決まります。

解決策

この問題を解決する方法はいくつかあります。

  1. SSH クライアントに、逆引き DNS レコード (別名 PTR レコード) を設定します。
  2. SSH サーバーの /etc/ssh/sshd_config に UseDNS no と GSSAPIAuthentication no が設定されていることを確認して、sshd を再起動します。
  3. SSH サーバーの /etc/hosts に、SSH クライアントの IP アドレスとホスト名があることを確認します。

SSH ログインを行うと reverse mapping checking getaddrinfo エラーおよび POSSIBLE BREAK-IN ATTEMPT” エラーが発生する – Red Hat Customer Portal
https://access.redhat.com/ja/solutions/742733

広告

クライアントに逆引き設定をするのはちょっと面倒だし、自分で立てた踏み台サーバであることは明らかなので、今回は逆引きチェックそのものを無効化することにした。

sshd_configにある
#UseDNS yes

UseDNS no
と書き換えて再起動。無事解決。

SSHの設定を変更・再起動する際には、現在のセッションを維持したまま、新規セッションが開始できることを確認することを強くおすすめします。

About: dacelo


Leave a Reply

Your email address will not be published. Required fields are marked *