Pakiet denyhosts w Ubuntu Trusty Tahr jest usuwany: tymczasowy czy na zawsze?

21

Podczas przeprowadzania testowej aktualizacji naszego serwera Ubuntu do wersji 14.04 stwierdziłem, że pakiet DenyHosts nie jest już dostępny. Zainstalowanie go powoduje następujący błąd:

apt-get install denyhosts
Reading package lists... Done
Building dependency tree       
Reading state information... Done
E: Unable to locate package denyhosts

Najwyraźniej został usunięty, zgodnie z wyrzutnią .

Czy Denyhosts będą dostępne w końcowej wersji Ubuntu 14.04?

security unsupported-packages

— Kees van Dieren
źródło

1

Państwo nie uruchamiać apt-get updateprzed zainstalować prawo polecenia?

— Seth

Wygląda na to, że jest / był w zaufanej propozycji, ale kilka otwartych błędów wygląda na „niezgodne ze standardami systemu plików”. Tak więc, chociaż nie wiem, ktoś mógł naciskać, aby pobrać go z PPA do repo i nie powiódł się z powodu problemów ze zgodnością systemu plików.

— RobotHumans

+1 --- denyhosts jest dla mnie ważnym oprogramowaniem. Oznaczono jako nieobsługiwany, co jest dość ważne dla oprogramowania o bezpieczeństwie. Więc to musi zostać przyjęte ... albo będziemy musieli odwołać się do źródła.

— Rmano

4

Myślę, że odpowiedziałeś na swoje własne pytanie: „martwy pod prąd; nieobsługiwany; dysfunkcyjny w sid”. Nieobsługiwane projekty nadrzędne będą znajdować się w repozytoriach, z poprawkami, dopóki pakiety nie będą mogły łatać się, więc wygląda to na koniec dla odmawianych hostów. Istnieje wiele alternatyw, w tym iptables, patrz: bodhizazen.net/Tutorials/iptables#Additional_Tips . przewiń nieco w dół, aby „Użyj iptables do odrzucania / blokowania nieudanych połączeń”

— Panther

3

@Rmano - Przykro mi, denyhosts osiągnął ten etap, spójrz na mój link, fail2ban, kilka alternatyw dla denyhosts. Zobacz także bodhizazen.net/Tutorials/SSH_security

— Panther

19

Przykro mi, denyhosts osiągnęło ten etap, ale myślę, że odpowiedziałeś na własne pytanie:

martwy pod prąd; nieobsługiwany; dysfunkcjonalne w sid

Nieobsługiwane projekty nadrzędne będą znajdować się w repozytoriach, z poprawkami, dopóki pakiety nie będą mogły łatać się, więc wygląda to na koniec dla odmawianych hostów.

Moja najlepsza rada to szukać alternatywnych.

Osobiście wzmacniam mój serwer ssh

I użyj iptables

sudo iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH --rsource -j ACCEPT
sudo iptables -A INPUT -m recent --update --seconds 600 --hitcount 8 --rttl --name SSH --rsource -j DROP

Zobacz http://bodhizazen.com/Tutorials/iptables

wszystkie linki w tym poście pochodzą z mojego LUG;)

— Pantera
źródło

Dzięki, sprawdzę iptables i fail2ban jako zamiennik.

— Kees van Dieren

powodzenia, te zasady iptables, które ci dałem, są dobrą opcją i nie wymagają żadnych dodatkowych pakietów. Możesz być bardziej rygorystyczny, ale reguły są wystarczające dla wszystkich oprócz najbardziej upartych dzieciaków ze scenariusza

— Panther

Przetestuję iptable Rules. Mój problem polega na tym, że ograniczy to powtarzające się połączenia, a nie tylko nieudane próby --- a użycie unisona do synchronizacji moich plików będzie oznaczało, że kiedyś zrobię dużo (dobrych) połączeń. Czy się mylę? Spojrzy na fail2ban ...

— Rmano

@rmano Możesz dodać regułę przed tymi, która zezwala na port 22 dla określonego adresu IP i dopóki uruchomisz Unison z tego adresu IP, nie będzie on miał problemów.

— William Lawn Stewart

1

@WilliamLawnStewart ... jest to prawie niemożliwe, nie mam stałego adresu IP; Robię to z dowolnego miejsca. Fail2ban wydaje się działać dobrze, opiera się na tej samej zasadzie denyhosts.

— Rmano

8

Nie, to nie wraca. bodhi oferuje kilka dobrych wskazówek, jak możesz go zastąpić, ale warto również wyjaśnić, dlaczego został usunięty.

Został on usunięty w Debianie na prośbę Zespołu Bezpieczeństwa Debiana:

Występują nierozwiązane problemy bezpieczeństwa (np. # 692229).

Narzędzie jest martwe w górę (ostatnie wydanie 2008).

Istnieje realna alternatywa, fail2ban, która zapewnia taki sam lub zwiększony zestaw funkcji.

Możesz również sprawdzić to pytanie na ServerFault:

Denyhosts vs fail2ban vs iptables - najlepszy sposób, aby zapobiec logowaniu przy użyciu siły brute?

— andrews coś
źródło

Przeważnie opublikowałem to, aby przetestować moją aplikację Ubuntu Touch, StackBrowser , nową możliwość publikowania odpowiedzi. Mogę go usunąć, jeśli ludzie myślą, że nie różni się on znacząco od bodhi.

— andrewsomething

3

Nie usuwaj go --- zawiera przydatne linki. Dzięki.

— Rmano

4

Chociaż DenyHosts nie jest dostępny jako pakiet w Ubuntu, istnieje rozwidlenie projektu nadrzędnego tutaj: http://denyhost.sf.net Widelec zawiera łatki bezpieczeństwa i lepiej obsługuje Ubuntu. Możesz go zainstalować, pobierając plik tarball i uruchamiając go

tar xzf denyhost-2.7.tar.gz
cd DenyHosts-2.7
sudo python setup.py install

— Jesse
źródło

Ok, widzę, że ten link 2.7 jest w pewnym sensie ukryty w porównaniu do reszty pobrań denyhosts (wszystkie były w wersji 2.6 ~ 2008). Byłem zdezorientowany - uwaga denyhost i denyhosts w adresie URL

— Jeremy Hajek

Miły! Skopiuj /usr/local/bin/daemon-control-distdo /etc/init.d/denyhostspo instalacji i zmień jedną ścieżkę w tym pliku:DENYHOSTS_BIN = "/usr/local/bin/denyhosts.py"

— neu242

0

Nie jest utrzymany, ale problem # 692229 został naprawiony, jak zauważono tutaj https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=692229

Fail2ban nie jest tak naprawdę alternatywą, jeśli chcesz użyć serwera synchronizacji. Nie widziałem innych systemów niż denyhosts, które to obsługują.

Tak długo, jak działa, dlaczego go nie używać?

— Roy Sigurd Karlsbakk
źródło

-1

Wygląda na to, że widelec jest obecnie utrzymywany na https://github.com/denyhosts/denyhosts, a aktualna wersja to 2.9.

— Jerzy
źródło