Gói denyhosts trong Ubuntu Trusty Tahr bị xóa: tạm thời hay mãi mãi?

21

Trong khi thực hiện nâng cấp thử nghiệm máy chủ Ubuntu của chúng tôi lên 14.04, tôi thấy rằng gói Denyhosts không còn khả dụng. Cài đặt nó cho lỗi sau:

apt-get install denyhosts
Reading package lists... Done
Building dependency tree       
Reading state information... Done
E: Unable to locate package denyhosts

Rõ ràng nó đã bị xóa, theo launchpad .

Denyhost sẽ có sẵn trong bản phát hành cuối cùng của Ubuntu 14.04?

security  unsupported-packages 
Kees van Dieren
nguồn
1
Bạn đã chạy apt-get updatetrước lệnh cài đặt phải không?
Seth
Có vẻ như nó được / được đề xuất đáng tin cậy, nhưng một vài lỗi mở có vẻ là "không phù hợp với tiêu chuẩn hệ thống tập tin". Vì vậy, trong khi tôi không biết, ai đó có thể đã cố gắng lấy nó từ ppa để repo và thất bại vì các vấn đề tuân thủ hệ thống tập tin.
RobotHumans
+1 --- denyhosts là một phần mềm quan trọng đối với tôi. Nó được đánh dấu là không rõ ràng, điều này khá quan trọng đối với một phần mềm về bảo mật. Vì vậy, nó cần phải được thông qua ... hoặc chúng ta sẽ phải dùng đến nguồn.
Rmano
4
Tôi nghĩ rằng bạn đã trả lời câu hỏi của riêng bạn: "chết ngược dòng; không rõ ràng; rối loạn chức năng trong sid". Các dự án ngược dòng không rõ ràng sẽ nằm trong repos, với các bản vá, cho đến khi các gói không còn có thể vá nữa, vì vậy có vẻ như là kết thúc cho denyhosts. Có nhiều lựa chọn thay thế, bao gồm cả iptables xem bodhizazen.net/Tutorials/iptables#Additable_Tips . cuộn xuống chỉ một chút để "Sử dụng iptables để từ chối / chặn các kết nối không thành công"
Panther
3
@Rmano - Tôi xin lỗi denyhosts đã đạt đến giai đoạn này, hãy nhìn vào liên kết của tôi, fail2ban, một vài lựa chọn thay thế cho denyhosts. Xem thêm bodhizazen.net/Tutorials/SSH_security
Panther

Câu trả lời:

19

Tôi xin lỗi denyhosts đã đạt đến giai đoạn này, nhưng tôi nghĩ bạn đã trả lời câu hỏi của riêng bạn:

chết thượng nguồn; không rõ nguyên nhân; rối loạn chức năng

Các dự án ngược dòng không rõ ràng sẽ nằm trong repos, với các bản vá, cho đến khi các gói không còn có thể vá nữa, vì vậy có vẻ như là kết thúc cho denyhosts.

Lời khuyên tốt nhất của tôi là tìm kiếm sự thay thế.

Cá nhân tôi cứng máy chủ ssh của tôi

Và sử dụng iptables

sudo iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH --rsource -j ACCEPT
sudo iptables -A INPUT -m recent --update --seconds 600 --hitcount 8 --rttl --name SSH --rsource -j DROP

Xem http://bodhizazen.com/Tutorials/iptables

tất cả các liên kết trong bài viết này là từ LUG của tôi;)

Con beo
nguồn
Cảm ơn, sẽ xem xét iptables và fail2ban như một sự thay thế.
Kees van Dieren
chúc may mắn cho bạn, những quy tắc iptables tôi đưa ra cho bạn là một lựa chọn tốt và không yêu cầu bất kỳ gói bổ sung nào. Bạn có thể nghiêm khắc hơn, nhưng các quy tắc là đủ cho tất cả trừ những đứa trẻ kịch bản dai dẳng nhất
Panther
Tôi sẽ kiểm tra các quy tắc iptable. Vấn đề của tôi là điều này sẽ hạn chế các kết nối lặp đi lặp lại, không chỉ các lần thử thất bại --- và sử dụng unison để đồng bộ hóa các tệp của tôi sẽ có nghĩa là đôi khi tôi sẽ thực hiện RẤT NHIỀU kết nối (tốt). Hay tôi sai? Sẽ nhìn vào fail2ban ...
Rmano
@rmano Bạn có thể thêm quy tắc trước những quy tắc cho phép cổng 22 cho một IP cụ thể và miễn là bạn chạy Unison từ IP đó thì nó sẽ không gặp vấn đề gì.
William Lawn Stewart
1
@WilliamLawnStewart ... điều này gần như không thể, tôi không có ip cố định; Tôi làm điều đó từ bất cứ nơi nào tôi đang có. Fail2ban dường như sẽ hoạt động tốt, dựa trên cùng một nguyên tắc của denyhosts.
Rmano
8

Không, nó không quay trở lại. Bodhi cung cấp một số gợi ý tốt về cách bạn có thể thay thế nó, nhưng cũng đáng để giải thích tại sao nó bị xóa.

Nó đã bị xóa trong Debian theo yêu cầu của Nhóm bảo mật Debian:

  • Có các vấn đề bảo mật không được giải quyết (ví dụ # 692229).
  • Công cụ này đã chết ngược dòng (bản phát hành cuối cùng 2008).
  • Có một sự thay thế khả thi, fail2ban, cung cấp bộ tính năng tương tự hoặc tăng lên.

Bạn cũng có thể muốn kiểm tra câu hỏi này trên ServerFault:

Denyhosts vs fail2ban vs iptables- cách tốt nhất để ngăn chặn đăng nhập vũ phu?

andrews Something
nguồn
Tôi chủ yếu đăng bài này để kiểm tra ứng dụng Ubuntu Touch, StackBrowser , khả năng mới để đăng câu trả lời. Tôi có thể xóa nó nếu mọi người nghĩ nó không khác biệt đáng kể so với bồ đề.
andrews Something
3
Đừng xóa nó --- nó có các liên kết hữu ích. Cảm ơn.
Rmano
4

Mặc dù Denyhosts không có sẵn dưới dạng gói trong Ubuntu, nhưng có một nhánh của dự án ngược dòng ở đây: http://denyhost.sf.net Ngã ba bao gồm các bản vá bảo mật và hỗ trợ tốt hơn cho Ubuntu. Bạn có thể cài đặt nó bằng cách tải tarball và chạy

tar xzf denyhost-2.7.tar.gz
cd DenyHosts-2.7
sudo python setup.py install
Dòng Tên
nguồn
Ok tôi thấy liên kết 2.7 này là loại ẩn so với phần còn lại của các lượt tải denyhosts (tất cả là 2,6 ~ 2008). Tôi đã bị lẫn lộn - lưu ý denyhost và denyhosts trong URL
Jeremy Hajek
Tốt đẹp! Sao chép /usr/local/bin/daemon-control-distvào /etc/init.d/denyhostssau khi cài đặt và thay đổi một đường dẫn trong tệp đó:DENYHOSTS_BIN = "/usr/local/bin/denyhosts.py"
neu242
0

Không rõ, nhưng vấn đề # 692229 đã được khắc phục, như đã lưu ý ở đây https://bugs.debian.org/cgi-bin/ormsreport.cgi?orms=692229

Fail2ban không thực sự là một lựa chọn thay thế nếu bạn muốn sử dụng máy chủ đồng bộ. Tôi chưa thấy các hệ thống khác ngoài denyhost hỗ trợ điều này.

Vì vậy, miễn là nó hoạt động, tại sao không sử dụng nó?

Roy Sigurd Karlsbakk
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.