web-dev-qa-db-ja.com

PTRレコードが設定されている場合でも、SSHが「reverse Mapping Checking getaddrinfo failed」と報告するのはなぜですか?

サブネット10のプライベートネットワークを使用してクラスターをセットアップしようとしています。1台のマシンには2つのインターフェイスがあり、1つは通常のネットワークに接続し、もう1つはサブネット10のすべてのノードに接続します。このCentOS 6マシン(これを呼びましょう) 「zaza.domain.com」)はDHCP、DNSを実行し、現在、これらは両方ともCobblerによって管理されています。これは問題の一部である場合とそうでない場合があります(ただし、無効にしてすべてを手動で実行すると問題が発生します)。

ZazaにSSHで接続してから、zazaからnode1にSSHで接続しようとすると、次のような警告メッセージが表示されます。

[root@zaza ~]# ssh node1
reverse mapping checking getaddrinfo for node1.cluster.local [10.69.0.1] failed - POSSIBLE BREAK-IN ATTEMPT! 

それでもパスワードプロンプトが表示され、ログインできます。

私は sshd警告、失敗した逆引きDNSの「可能性のある侵入の試み!」 および 「/可能性のある侵入の試み!」// var/log/secureから知っています—これはどういう意味ですか? と、このエラーの原因が通常設定されていないPTRレコードであるという他の検索の束。ただし、設定されています-次の点を考慮してください。

[root@zaza ~]# nslookup node1.cluster.local   
Server:     10.69.0.69   
Address:    10.69.0.69#53

Name:   node1.cluster.local   
Address: 10.69.0.1

[root@zaza ~]# nslookup 10.69.0.1   
Server:     10.69.0.69   
Address:    10.69.0.69#53

1.0.69.10.in-addr.arpa  name = node1.cluster.local.

10.69.0.69 IPアドレスは、zazaの2番目のインターフェースです。

Digなどの別のツールを試してみると、実際にPTRレコードを表示するには、次の出力が得られます。

[root@zaza ~]# Dig ptr 1.0.69.10.in-addr.arpa    
; <<>> Dig 9.8.2rc1-RedHat-9.8.2-0.47.rc1.el6_8.4 <<>> ptr 69.0.69.10.in-addr.arpa
;; global options: +cmd
;; Got answer:   
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 29499   
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 1

;; QUESTION SECTION:
;1.0.69.10.in-addr.arpa.    IN  PTR

;; ANSWER SECTION:  
1.0.69.10.in-addr.arpa. 300 IN  PTR node1.cluster.local.

;; AUTHORITY SECTION:  
10.in-addr.arpa.    300 IN  NS  zaza.cluster.local.

;; ADDITIONAL SECTION:   zaza.cluster.local.    300 IN  A   10.69.0.69

;; Query time: 0 msec
;; SERVER: 10.69.0.69#53(10.69.0.69)
;; WHEN: Wed Mar  1 17:05:44 2017   
;; MSG SIZE  rcvd: 110

PTRレコードが設定されているように見えるので、ノードマシンの1つに接続しようとすると、SSHがヒスフィットをスローする理由がわかりません。すべての情報を提供するために、ここに関連する設定ファイルがあります。

/etc/named.conf

[root@zaza ~]# cat /etc/named.conf 
options {
          listen-on port 53 { any; };
          directory       "/var/named";
          dump-file       "/var/named/data/cache_dump.db";
          statistics-file "/var/named/data/named_stats.txt";
          memstatistics-file "/var/named/data/named_mem_stats.txt";
          allow-query     { any; }; # was localhost
          recursion yes;

          # setup DNS forwarding
          forwarders {1.2.3.4;}; # Real IP goes in here
};

logging {
        channel default_debug {
                file "data/named.run";
                severity dynamic;
        };
};

zone "cluster.local." {
    type master;
    file "cluster.local";

    # these two lines allow DNS querying
    allow-update { any; };
    notify no;
};

zone "10.in-addr.arpa." {
    type master;
    file "10";

    # these two lines allow DNS querying
    allow-update { any; };
    notify no;
};

/var/named/cluster.local

[root@zaza ~]# cat /var/named/cluster.local 
$TTL 300
@                       IN      SOA     zaza.cluster.local. nobody.example.com. (
                                        2017030100   ; Serial
                                        600         ; Refresh
                                        1800         ; Retry
                                        604800       ; Expire
                                        300          ; TTL
                                        )

                        IN      NS      zaza.cluster.local.

zaza     IN  A     10.69.0.69



node1  IN  A     10.69.0.1;
node2  IN  A     10.69.0.2;

/ var/named/10

[root@zaza ~]# cat /var/named/10 
$TTL 300
@                       IN      SOA     zaza.cluster.local. root.zaza.cluster.local. (
                                        2017030100   ; Serial
                                        600         ; Refresh
                                        1800         ; Retry
                                        604800       ; Expire
                                        300          ; TTL
                                        )

                        IN      NS      zaza.cluster.local.

69.0.69 IN  PTR  zaza.cluster.local.



1.0.69  IN  PTR  node1.cluster.local.
2.0.69  IN  PTR  node2.cluster.local.

何かアイデアがあれば、よろしくお願いします!

2
Biggles

それはすべてAvahiと.localドメインに関するものであり、PTRレコードとは何の関係もありません。

ホストの解決が機能していることを認識して、さらに検索を行いましたが、FQDNによるそのホストは失敗していました。これは最終的に私を導きました https://superuser.com/questions/704785/ping-cant-resolve-hostname-but-nslookup-can そしてそれから私は http: //www.lowlevelmanager.com/2011/09/fix-linux-dns-issues-with-local.html これですべてが解決しました。

最終的に問題となるのは、/etc/nsswitch.confに次のような行があることです。
hosts: files mdns4_minimal [NOTFOUND=return] dns
これを次のように変更します。
hosts: files dns
問題が解消され、侵入の可能性に関するエラーが発生しなくなりました。

私がテストした別の解決策は、この動作が.localドメインに固有であるため、単にドメインの名前を変更することでした。 cluster.localの名前をcluster.bobに変更することで、エラーメッセージも消えました。

別の解決策は、Avahiを.localから.alocalのようなものに移動して、マルチキャストDNSが.localドメインに適用されず、デフォルトのnsswitch構成が機能しているように見えるようにすることです。 [NOTFOUND=return]パラメータを削除すると、.localホストが見つからなかった場合にマルチキャストDNSがルックアップを終了しなくなるため、うまくいくと思いますが、それはおそらく悪い考えです。

結局これは、.localドメインの重要性を完全に理解していないために発生したEdgeのケースであり、内部ネットワークの適切な規則と見なしただけです。

0
Biggles