`
futeng
  • 浏览: 264147 次
  • 性别: Icon_minigender_1
社区版块
存档分类
最新评论

SSHD服务取消DNS反向解析 SSH连接慢

阅读更多

DNS反向解析(Reverse DNS)

正向解析:通过域名查找ip;

反向解析:通过ip查找域名;

DNS反向解析用来屏蔽非法的IP访问请求;常见于邮件屏蔽系统,而apache,ssh,mysql等服务器端程序也会默认携带;

例如:邮件头包含域名和邮箱服务器的IP地址,一般邮件系统会检测发送来的域名是否合法(比对黑白名单),如果合法则接收该邮件,不合法则丢弃;对于自架邮件系统专门发送垃圾邮件的人,为了能逃避目标邮件系统的审核,此时可以通过将自己的邮件头域名篡改为常用的如Gmail邮件域名来逃脱检查。

大量动态IP的非法请求催生了DNS反向解析技术的发展。

本例中,邮件系统增加了审查功能,即通过邮件头中的IP来向DNS服务器对应的查询域名是否与邮件头中的域名相符合来判断邮件请求的合法性;

目前DNS的反向解析已经作为常规安全手段被大多数应用所使用。

在Windows CMD下可通过nslookup命令来观察正向和逆向解析:

C:\Users\teng>nslookup g.cn
服务器:  google-public-dns-a.google.com
Address:  8.8.8.8

非权威应答:
名称:    g.cn
Addresses:  2404:6800:4008:c04::a0
          203.208.48.147
          203.208.48.146
          203.208.48.145
          203.208.48.144
          203.208.48.148


C:\Users\teng>nslookup -qt=ptr 203.208.48.148
服务器:  google-public-dns-a.google.com
Address:  8.8.8.8

*** google-public-dns-a.google.com 找不到 148.48.208.203.in-addr.arpa.: Non-existent domain
 

示例中先通过 g.cn查询Google的对外IP地址群,再通过其中一个IP地址逆向查询是否属于Google。

去除SSH服务中的DNS反向解析

SSH服务中的反向解析同样的也是为了通过审查请求来的IP和其IP存放在DNS服务器上面的域名是否能对应起来,来提高安全性。

但由于反向解析的存在,每个IP请求都会消耗一定时间来审查其合法性。对于局域网内服务器群、不直接连接外网的服务器或者已知访问的IP都是合法的地址等情况,其审查显得多余且长时间的查询会极大的影响SSH连接速度。

以下通过关闭SSH反向解析服务和在hosts文件中配置可信的访问地址来解决该问题。

A. 关闭SSH反向解析服务

# 1. 备份sshd配置文件
cp /etc/ssh/sshd_config
 /etc/ssh/sshd_config
.bak.20150323.UseDNSYes2No
# 2. 修改配置文件,取消sshd服务的dns反向解析
vim /etc/ssh/sshd_config
# 3. 找到选项UseDNS ,取消注释,改为
UseDNS no
# 4. 重启sshd服务
/etc/init.d/sshd  restart
 

B. hosts文件中配置可信的访问地址

# 1. 备份hosts文件
cp /etc/hosts /etc/hosts.bak.20150323.addTrustedIPandName
# 2. 修改hosts文件
vim /etc/hosts
# 3. 增加可信的IP及其服务名,示例IP为10.60.9.7,名称为CRXJ-COLL
10.60.9.7  CRXJ-COLL
 

参考文件

Wiki 反向解析

SSH 连接慢 与 反向解析

DNS中的正向解析与反向解析

What is the point of sshd “UseDNS” option?

由于反向解析引发的访问慢的问题

Disabling reverse dns lookups in ssh

[原]sshd服务取消DNS反向解析及修改超时时间

 

转载请标明作者和原文链接

ifuteng#gmail.com 2014/9/24

1
2
分享到:
评论

相关推荐

    SSH 登录Linux solaris慢

    1. **DNS解析延迟**:在SSH连接过程中,默认情况下会进行DNS反向解析来验证客户端的主机名。如果DNS服务器响应慢或者网络环境不佳,会导致SSH登录过程中的等待时间增加。 2. **网络带宽限制**:SSH传输数据的速度...

    CentOS 7.9 SSH 认证延迟问题及其解决方案

    使用场景及目标:当 CentOS 7.9 上出现由于 DNS 解析导致的 SSH 访问慢的情况时,可以参考本文提供的步骤来快速修复。 其他说明:该问题主要与服务器尝试反向解析客户端IP地址相关,在网络设置复杂的情况下更容易...

    如何用一条命令解决SecureCRT等软件使用SSH连接Linux慢的问题(建议收藏)

    这一步骤是为了增强安全性,但有时却可能成为连接速度慢的主要因素,特别是在网络环境不佳或者DNS解析速度慢的情况下。 **解决方法** 步骤1:**编辑sshd配置文件** 打开终端,使用`vi`编辑器来修改SSH服务器的配置...

    Linux运维面试总结

    (2)可能是DNS反向解析不正确导致的.正常情况下默认配置下 sshd 初次接受 ssh 客户端连接的时候会自动反向解析客户端 IP 以得到 ssh 客户端的域名或主机名。如果这个时候 DNS 的反向解析不正确,sshd 就会等到 DNS ...

    Ubuntu系统ssh安装与连接以及sftp文件传送全攻略

    这通常是因为SSH服务需要反向查询客户端的DNS信息。可以通过禁用这个特性来提高登录速度: 1. 打开`sshd_config`文件: ```bash sudo nano /etc/ssh/sshd_config ``` 2. 在`GSSAPI options`部分,注释掉以下两...

    ssh 登录很慢该如何解决

    1. DNS反向解析问题 OpenSSH在用户登录的时候会验证IP,它根据用户的IP使用反向DNS找到主机名,再使用DNS找到IP地址,最后匹配一下登录的IP是否合法。如果客户机的IP没有域名,或者DNS服务器很慢或不通,那么登录就...

    SSH Unix Secure Shell工具

    启用“UseDNS no”选项以防止DNS反向查询带来的延迟。 总的来说,SSH Unix Secure Shell工具是Unix环境中不可或缺的工具,它提供了一种安全、可靠的方式来管理和控制远程系统,同时也为数据传输提供了保障。理解并...

    内网ssh/mysql登录缓慢的解决方法

    在许多企业环境中,内网服务器不直接提供DNS服务,因此当SSH(Secure Shell)和MySQL客户端尝试进行DNS反向解析验证服务器身份时,由于无法快速得到响应,会等待超时,这大大延长了登录过程。本文将详细讲解如何解决...

    特别好的Linux网络服务教程

    在Linux中,`sshd`服务提供SSH服务,允许用户通过加密连接进行远程管理,增强了网络安全。 4. **文件服务器**:文件服务器是用于存储和共享文件的服务器,常使用Samba或NFS等协议。Samba可以让Linux与Windows系统...

    Linux ssh服务器配置代码实例

    6. **UseDNS**:设置为`UseDNS no`可以提高连接速度,并防止DNS反向查找带来的潜在安全问题。 7. **ChallengeResponseAuthentication** 和 **UsePAM**:根据你的安全策略,可能需要关闭这些认证方式。 配置完成后...

    LINUX服务器配置文档

    这通常在`named.conf`配置文件中完成,并且需要创建相应的区域文件来存储DNS记录,如A记录(IP到域名的映射)、PTR记录(反向解析)以及MX记录(邮件服务器)等。 FTP(File Transfer Protocol)服务器配置涉及提供...

    各种ubuntulinux远程登录的方案.pdf

    为解决登录延迟问题,可以在`/etc/ssh/sshd_config`中关闭GSSAPIAuthentication(`GSSAPIAuthentication no`),以防止因反向DNS查询导致的延迟。 6. **重启SSH服务**: 修改配置后,需通过`sudo /etc/init.d/ssh...

    10-18章测试1

    14. **DNS解析记录类型**:正向解析记录(A记录)关联域名和IP地址,反向解析记录(PTR记录)关联IP地址和域名。 15. **DNS查询分类**:DNS查询主要分为递归查询和迭代查询,递归查询由DNS客户端发起,直到获得最终...

    《RHEL网络服务——基本网络配置》PDF版本下载.txt

    - 安装与配置DNS服务,确保域名解析正常工作。 - 创建正向和反向区域文件,实现域名与IP地址之间的映射。 3. **防火墙和SELinux配置**: - 启用或禁用防火墙规则,保护系统免受外部威胁。 - 调整SELinux策略,...

    hadoopq集群搭建.docx

    如果DNS服务器将IP地址解析为localhost,导致网络通信问题,可以手动编辑SSH客户端的`/etc/hosts`文件,将有问题的IP地址和对应的主机名添加进去,以解决此问题。 **问题4:8088端口的Web界面无法访问** 首先,...

    虚拟机安装CentOS6.5-x86_64系统.docx

    为了提高SSH性能,还可以在`/etc/ssh/sshd_config`中设置`UseDNS no`来禁用DNS反向查找。 FTP服务的安装涉及`vsftpd`,通过`service vsftpd start`启动服务,并使用`chkconfig vsftpd on`设置开机启动。为了让root...

    hadoopq集群搭建.pdf

    3. **DNS解析问题**:如果遇到IP地址反向解析为localhost的问题,可能是因为DNS配置不正确。一种解决方案是在每个节点的`/etc/hosts`文件中添加IP地址和主机名的映射,以避免DNS解析错误。 4. **Web界面访问问题**...

    LINUX 菜鸟全部服务设置

    - **DNS(Domain Name System)**:域名解析服务,如`bind9`,配置文件在`/etc/bind/named.conf`系列文件。 3. **防火墙服务** Linux内核自带`iptables`用于防火墙规则设置,但`firewalld`提供更友好的动态管理...

    生产服务器环境最小化安装后Centos6.5优化配置[文].pdf

    - 配置`UseDNS no`以加快连接速度并防止DNS反向查找带来的安全风险。 4. **内存和SWAP调整**:根据服务器的内存大小,适当调整SWAP分区大小。如果内存不足,可以增加SWAP分区,但过度依赖SWAP会影响性能。 5. **...

    CentOS 系统配置 (各种服务配置 软件安装 )汇总

    - **Systemd**:利用`systemctl`进行服务操作,如`systemctl start sshd`。 - **chkconfig**:管理服务开机启动,`chkconfig --level 35 httpd on`使httpd在运行级别3和5启动。 3. **防火墙配置**: - **...

Global site tag (gtag.js) - Google Analytics