PTRレコードが設定されている場合でも、SSHが「reverse Mapping Checking getaddrinfo failed」と報告するのはなぜですか?
サブネット10のプライベートネットワークを使用してクラスターをセットアップしようとしています。1台のマシンには2つのインターフェイスがあり、1つは通常のネットワークに接続し、もう1つはサブネット10のすべてのノードに接続します。このCentOS 6マシン(これを呼びましょう) 「zaza.domain.com」)はDHCP、DNSを実行し、現在、これらは両方ともCobblerによって管理されています。これは問題の一部である場合とそうでない場合があります(ただし、無効にしてすべてを手動で実行すると問題が発生します)。
ZazaにSSHで接続してから、zazaからnode1にSSHで接続しようとすると、次のような警告メッセージが表示されます。
[root@zaza ~]# ssh node1
reverse mapping checking getaddrinfo for node1.cluster.local [10.69.0.1] failed - POSSIBLE BREAK-IN ATTEMPT!
それでもパスワードプロンプトが表示され、ログインできます。
私は sshd警告、失敗した逆引きDNSの「可能性のある侵入の試み!」 および 「/可能性のある侵入の試み!」// var/log/secureから知っています—これはどういう意味ですか? と、このエラーの原因が通常設定されていないPTRレコードであるという他の検索の束。ただし、設定されています-次の点を考慮してください。
[root@zaza ~]# nslookup node1.cluster.local
Server: 10.69.0.69
Address: 10.69.0.69#53
Name: node1.cluster.local
Address: 10.69.0.1
[root@zaza ~]# nslookup 10.69.0.1
Server: 10.69.0.69
Address: 10.69.0.69#53
1.0.69.10.in-addr.arpa name = node1.cluster.local.
10.69.0.69 IPアドレスは、zazaの2番目のインターフェースです。
Digなどの別のツールを試してみると、実際にPTRレコードを表示するには、次の出力が得られます。
[root@zaza ~]# Dig ptr 1.0.69.10.in-addr.arpa
; <<>> Dig 9.8.2rc1-RedHat-9.8.2-0.47.rc1.el6_8.4 <<>> ptr 69.0.69.10.in-addr.arpa
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 29499
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 1
;; QUESTION SECTION:
;1.0.69.10.in-addr.arpa. IN PTR
;; ANSWER SECTION:
1.0.69.10.in-addr.arpa. 300 IN PTR node1.cluster.local.
;; AUTHORITY SECTION:
10.in-addr.arpa. 300 IN NS zaza.cluster.local.
;; ADDITIONAL SECTION: zaza.cluster.local. 300 IN A 10.69.0.69
;; Query time: 0 msec
;; SERVER: 10.69.0.69#53(10.69.0.69)
;; WHEN: Wed Mar 1 17:05:44 2017
;; MSG SIZE rcvd: 110
PTRレコードが設定されているように見えるので、ノードマシンの1つに接続しようとすると、SSHがヒスフィットをスローする理由がわかりません。すべての情報を提供するために、ここに関連する設定ファイルがあります。
/etc/named.conf
[root@zaza ~]# cat /etc/named.conf
options {
listen-on port 53 { any; };
directory "/var/named";
dump-file "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
memstatistics-file "/var/named/data/named_mem_stats.txt";
allow-query { any; }; # was localhost
recursion yes;
# setup DNS forwarding
forwarders {1.2.3.4;}; # Real IP goes in here
};
logging {
channel default_debug {
file "data/named.run";
severity dynamic;
};
};
zone "cluster.local." {
type master;
file "cluster.local";
# these two lines allow DNS querying
allow-update { any; };
notify no;
};
zone "10.in-addr.arpa." {
type master;
file "10";
# these two lines allow DNS querying
allow-update { any; };
notify no;
};
/var/named/cluster.local
[root@zaza ~]# cat /var/named/cluster.local
$TTL 300
@ IN SOA zaza.cluster.local. nobody.example.com. (
2017030100 ; Serial
600 ; Refresh
1800 ; Retry
604800 ; Expire
300 ; TTL
)
IN NS zaza.cluster.local.
zaza IN A 10.69.0.69
node1 IN A 10.69.0.1;
node2 IN A 10.69.0.2;
/ var/named/10
[root@zaza ~]# cat /var/named/10
$TTL 300
@ IN SOA zaza.cluster.local. root.zaza.cluster.local. (
2017030100 ; Serial
600 ; Refresh
1800 ; Retry
604800 ; Expire
300 ; TTL
)
IN NS zaza.cluster.local.
69.0.69 IN PTR zaza.cluster.local.
1.0.69 IN PTR node1.cluster.local.
2.0.69 IN PTR node2.cluster.local.
何かアイデアがあれば、よろしくお願いします!
それはすべてAvahiと.localドメインに関するものであり、PTRレコードとは何の関係もありません。
ホストの解決が機能していることを認識して、さらに検索を行いましたが、FQDNによるそのホストは失敗していました。これは最終的に私を導きました https://superuser.com/questions/704785/ping-cant-resolve-hostname-but-nslookup-can そしてそれから私は http: //www.lowlevelmanager.com/2011/09/fix-linux-dns-issues-with-local.html これですべてが解決しました。
最終的に問題となるのは、/etc/nsswitch.confに次のような行があることです。hosts: files mdns4_minimal [NOTFOUND=return] dns
これを次のように変更します。hosts: files dns
問題が解消され、侵入の可能性に関するエラーが発生しなくなりました。
私がテストした別の解決策は、この動作が.localドメインに固有であるため、単にドメインの名前を変更することでした。 cluster.localの名前をcluster.bobに変更することで、エラーメッセージも消えました。
別の解決策は、Avahiを.localから.alocalのようなものに移動して、マルチキャストDNSが.localドメインに適用されず、デフォルトのnsswitch構成が機能しているように見えるようにすることです。 [NOTFOUND=return]パラメータを削除すると、.localホストが見つからなかった場合にマルチキャストDNSがルックアップを終了しなくなるため、うまくいくと思いますが、それはおそらく悪い考えです。
結局これは、.localドメインの重要性を完全に理解していないために発生したEdgeのケースであり、内部ネットワークの適切な規則と見なしただけです。