© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
Marian Hettwer <MH(at)kernel32.de> wrote:
> Die Meldungen treten auch auf, wenn VerifyReverseMapping nicht in der
> sshd_config ist. Hm. Entweder heisst das, daß VerifyReverseMapping
> default maessig an ist, und daher der Parameter in meiner sshd_config
> nicht vorhanden ist, oder aber die Logmeldungen treten auch auf, wenn
> entsprechender Parameter nicht gesetzt.
> Egal. Auf jeden Fall kappt der sshd die Verbindung nicht, falls die
> Logmeldung auftaucht.
Ich habe eben mal einen kurzen Blick hinein geworfen und
festgestellt, daß die Angelegenheit etwas komplexer ist,
als ich bisher annahm. :-)
Erstens: Es handelt sich um eine Warnmeldung, keine Feh-
lermeldung. Das bedeutet, daß die Verbindung in der Tat
nicht gekappt wird. Allerdings traut der sshd in dem Fall
auch dem Hostnamen nicht, der per DNS geliefert wird, d.h.
der Name wird für alle Authentisierungsbelange ignoriert
(z.B. from="..." in authorized_keys).
Zweitens: VerifyReverseMapping ist per default aus, d.h.
man muß es eigentlich ausdrücklich auf »yes« setzen, um die
Checks und die zugehörigen Warnmeldungen zu bekommen.
Aber: Bei bestimmten Authentisierungsmechanismen (konkret:
SSH1+Kerberos) wird der Check in jedem Fall durchgeführt,
unabhängig davon, worauf VerifyReverseMapping eingestellt
ist.
Gruß
Olli
-- Oliver Fromme, secnetix GmbH & Co. KG, Marktplatz 29, 85567 Grafing Dienstleistungen mit Schwerpunkt FreeBSD: http://www.secnetix.de/bsd Any opinions expressed in this message may be personal to the author and may not necessarily reflect the opinions of secnetix in any way. "Clear perl code is better than unclear awk code; but NOTHING comes close to unclear perl code" (taken from comp.lang.awk FAQ) To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org with "unsubscribe de-bsd-questions" in the body of the messageReceived on Wed 02 Nov 2005 - 13:26:17 CET