Pakiet denyhosts w Ubuntu Trusty Tahr jest usuwany: tymczasowy czy na zawsze?

21

Podczas przeprowadzania testowej aktualizacji naszego serwera Ubuntu do wersji 14.04 stwierdziłem, że pakiet DenyHosts nie jest już dostępny. Zainstalowanie go powoduje następujący błąd:

apt-get install denyhosts
Reading package lists... Done
Building dependency tree       
Reading state information... Done
E: Unable to locate package denyhosts

Najwyraźniej został usunięty, zgodnie z wyrzutnią .

Czy Denyhosts będą dostępne w końcowej wersji Ubuntu 14.04?

security unsupported-packages Kees van Dieren
źródło
1
Państwo nie uruchamiać apt-get updateprzed zainstalować prawo polecenia?
Seth
Wygląda na to, że jest / był w zaufanej propozycji, ale kilka otwartych błędów wygląda na „niezgodne ze standardami systemu plików”. Tak więc, chociaż nie wiem, ktoś mógł naciskać, aby pobrać go z PPA do repo i nie powiódł się z powodu problemów ze zgodnością systemu plików.
RobotHumans
+1 --- denyhosts jest dla mnie ważnym oprogramowaniem. Oznaczono jako nieobsługiwany, co jest dość ważne dla oprogramowania o bezpieczeństwie. Więc to musi zostać przyjęte ... albo będziemy musieli odwołać się do źródła.
Rmano
4
Myślę, że odpowiedziałeś na swoje własne pytanie: „martwy pod prąd; nieobsługiwany; dysfunkcyjny w sid”. Nieobsługiwane projekty nadrzędne będą znajdować się w repozytoriach, z poprawkami, dopóki pakiety nie będą mogły łatać się, więc wygląda to na koniec dla odmawianych hostów. Istnieje wiele alternatyw, w tym iptables, patrz: bodhizazen.net/Tutorials/iptables#Additional_Tips . przewiń nieco w dół, aby „Użyj iptables do odrzucania / blokowania nieudanych połączeń”
Panther
3
@Rmano - Przykro mi, denyhosts osiągnął ten etap, spójrz na mój link, fail2ban, kilka alternatyw dla denyhosts. Zobacz także bodhizazen.net/Tutorials/SSH_security
Panther

Odpowiedzi:

19

Przykro mi, denyhosts osiągnęło ten etap, ale myślę, że odpowiedziałeś na własne pytanie:

martwy pod prąd; nieobsługiwany; dysfunkcjonalne w sid

Nieobsługiwane projekty nadrzędne będą znajdować się w repozytoriach, z poprawkami, dopóki pakiety nie będą mogły łatać się, więc wygląda to na koniec dla odmawianych hostów.

Moja najlepsza rada to szukać alternatywnych.

Osobiście wzmacniam mój serwer ssh

I użyj iptables

sudo iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH --rsource -j ACCEPT
sudo iptables -A INPUT -m recent --update --seconds 600 --hitcount 8 --rttl --name SSH --rsource -j DROP

Zobacz http://bodhizazen.com/Tutorials/iptables

wszystkie linki w tym poście pochodzą z mojego LUG;)

Pantera
źródło
Dzięki, sprawdzę iptables i fail2ban jako zamiennik.
Kees van Dieren
powodzenia, te zasady iptables, które ci dałem, są dobrą opcją i nie wymagają żadnych dodatkowych pakietów. Możesz być bardziej rygorystyczny, ale reguły są wystarczające dla wszystkich oprócz najbardziej upartych dzieciaków ze scenariusza
Panther
Przetestuję iptable Rules. Mój problem polega na tym, że ograniczy to powtarzające się połączenia, a nie tylko nieudane próby --- a użycie unisona do synchronizacji moich plików będzie oznaczało, że kiedyś zrobię dużo (dobrych) połączeń. Czy się mylę? Spojrzy na fail2ban ...
Rmano
@rmano Możesz dodać regułę przed tymi, która zezwala na port 22 dla określonego adresu IP i dopóki uruchomisz Unison z tego adresu IP, nie będzie on miał problemów.
William Lawn Stewart
1
@WilliamLawnStewart ... jest to prawie niemożliwe, nie mam stałego adresu IP; Robię to z dowolnego miejsca. Fail2ban wydaje się działać dobrze, opiera się na tej samej zasadzie denyhosts.
Rmano
8

Nie, to nie wraca. bodhi oferuje kilka dobrych wskazówek, jak możesz go zastąpić, ale warto również wyjaśnić, dlaczego został usunięty.

Został on usunięty w Debianie na prośbę Zespołu Bezpieczeństwa Debiana:

  • Występują nierozwiązane problemy bezpieczeństwa (np. # 692229).
  • Narzędzie jest martwe w górę (ostatnie wydanie 2008).
  • Istnieje realna alternatywa, fail2ban, która zapewnia taki sam lub zwiększony zestaw funkcji.

Możesz również sprawdzić to pytanie na ServerFault:

Denyhosts vs fail2ban vs iptables - najlepszy sposób, aby zapobiec logowaniu przy użyciu siły brute?

andrews coś
źródło
Przeważnie opublikowałem to, aby przetestować moją aplikację Ubuntu Touch, StackBrowser , nową możliwość publikowania odpowiedzi. Mogę go usunąć, jeśli ludzie myślą, że nie różni się on znacząco od bodhi.
andrewsomething
3
Nie usuwaj go --- zawiera przydatne linki. Dzięki.
Rmano
4

Chociaż DenyHosts nie jest dostępny jako pakiet w Ubuntu, istnieje rozwidlenie projektu nadrzędnego tutaj: http://denyhost.sf.net Widelec zawiera łatki bezpieczeństwa i lepiej obsługuje Ubuntu. Możesz go zainstalować, pobierając plik tarball i uruchamiając go

tar xzf denyhost-2.7.tar.gz
cd DenyHosts-2.7
sudo python setup.py install
Jesse
źródło
Ok, widzę, że ten link 2.7 jest w pewnym sensie ukryty w porównaniu do reszty pobrań denyhosts (wszystkie były w wersji 2.6 ~ 2008). Byłem zdezorientowany - uwaga denyhost i denyhosts w adresie URL
Jeremy Hajek
Miły! Skopiuj /usr/local/bin/daemon-control-distdo /etc/init.d/denyhostspo instalacji i zmień jedną ścieżkę w tym pliku:DENYHOSTS_BIN = "/usr/local/bin/denyhosts.py"
neu242
0

Nie jest utrzymany, ale problem # 692229 został naprawiony, jak zauważono tutaj https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=692229

Fail2ban nie jest tak naprawdę alternatywą, jeśli chcesz użyć serwera synchronizacji. Nie widziałem innych systemów niż denyhosts, które to obsługują.

Tak długo, jak działa, dlaczego go nie używać?

Roy Sigurd Karlsbakk
źródło