Os denyhosts de pacote no Ubuntu Trusty Tahr são excluídos: temporários ou para sempre?

21

Ao fazer uma atualização de teste do nosso servidor Ubuntu para 14.04, descobri que o pacote DenyHosts não está mais disponível. A instalação fornece o seguinte erro:

apt-get install denyhosts
Reading package lists... Done
Building dependency tree       
Reading state information... Done
E: Unable to locate package denyhosts

Aparentemente, ele foi excluído, de acordo com a barra de ativação .

O Denyhosts estará disponível na versão final do Ubuntu 14.04?

security unsupported-packages Kees van Dieren
fonte
1
Você foi executado apt-get updateantes de o direito de comando instalar?
Seth
Parece que ele foi / foi proposto de forma confiável, mas alguns dos bugs abertos parecem "não estar em conformidade com os padrões do sistema de arquivos". Portanto, enquanto eu não sei, alguém pode ter pressionado para que o ppa repo e falhou devido a problemas de conformidade do sistema de arquivos.
RobotHumans
+1 --- denyhosts é um software importante para mim. Foi marcado como não mantido, o que é bastante importante para um software sobre segurança. Por isso, precisa ser adotado ... ou teremos que recorrer à fonte.
Rmano 13/03
4
Acho que você respondeu sua própria pergunta: "morto a montante; sem manutenção; disfuncional no sid". Projetos upstream não mantidos residirão nos repositórios, com correções, até que os pacotes não possam mais ser corrigidos, então parece o fim dos denyhosts. Existem muitas alternativas, incluindo iptables, consulte bodhizazen.net/Tutorials/iptables#Additional_Tips . desloque-se um pouco para "usar o iptables para rejeitar / bloco não conexões"
Panther
3
@Rmano - desculpe denyhosts chegou a esta fase, olhe para o meu link, fail2ban, várias alternativas para denyhosts. Veja também bodhizazen.net/Tutorials/SSH_security
Panther

Respostas:

19

Lamento que os denyhosts tenham chegado a esse estágio, mas acho que você respondeu sua própria pergunta:

morto a montante; sem manutenção; disfuncional em sid

Projetos upstream não mantidos residirão nos repositórios, com correções, até que os pacotes não possam mais ser corrigidos, então parece o fim dos denyhosts.

Meu melhor conselho é procurar alternativas.

Pessoalmente, eu protejo meu servidor ssh

E use iptables

sudo iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH --rsource -j ACCEPT
sudo iptables -A INPUT -m recent --update --seconds 600 --hitcount 8 --rttl --name SSH --rsource -j DROP

Consulte http://bodhizazen.com/Tutorials/iptables

todos os links deste post são do meu LUG;)

Pantera
fonte
Obrigado, analisará o iptables e o fail2ban como um substituto.
Kees van Dieren 13/03
boa sorte para você, essas regras do iptables que eu dei são uma boa opção e não exigem nenhum pacote adicional. Você pode ser mais rigorosos, mas as regras são suficientes para todos, mas a maioria dos script kiddies persistentes
Panther
Vou testar as regras do iptable. Meu problema é que isso limitará conexões repetidas, não apenas tentativas fracassadas - e usar o uníssono para sincronizar meus arquivos significa que, em algum momento, eu irei fazer MUITO (boas) conexões. Ou eu estou errado? Vai olhar para fail2ban ...
Rmano
@rmano Você pode adicionar uma regra antes dessas que permita a porta 22 para um IP específico e, desde que você execute o Unison a partir desse IP, ele não terá problemas.
William Lawn Stewart #
1
@WilliamLawnStewart ... isso é quase impossível, não tenho ip fixo; Eu faço isso de qualquer lugar que eu esteja. Fail2ban parece que vai funcionar bem, é baseado no mesmo princípio de denyhosts.
Rmano 14/03
8

Não, não está voltando. O bodhi oferece uma boa sugestão sobre como substituí-lo, mas também vale a pena explicar por que foi removido.

Foi removido no Debian a pedido da Equipe de Segurança Debian:

  • Existem problemas de segurança não resolvidos (por exemplo, # 692229).
  • A ferramenta está totalmente indisponível (última versão 2008).
  • Existe uma alternativa viável, fail2ban, que fornece o mesmo ou maior conjunto de recursos.

Você também pode querer verificar esta pergunta no ServerFault:

Denyhosts vs fail2ban vs iptables - a melhor maneira de evitar logons de força bruta?

andrewsomething
fonte
Postei isso principalmente para testar a nova capacidade do meu Ubuntu Touch, StackBrowser , de postar respostas. Eu posso excluí-lo se as pessoas acharem que não é significativamente diferente do bodhi.
andrewsomething
3
Não o exclua - ele possui links úteis. Obrigado.
Rmano 13/03
4

Embora o DenyHosts não esteja disponível como pacote no Ubuntu, existe um fork do projeto upstream aqui: http://denyhost.sf.net O fork inclui patches de segurança e suporta melhor o Ubuntu. Você pode instalá-lo baixando o tarball e executando

tar xzf denyhost-2.7.tar.gz
cd DenyHosts-2.7
sudo python setup.py install
Jesse
fonte
Ok, eu vejo que esse link 2.7 está meio oculto em comparação com o restante dos downloads de denyhosts (que eram todos 2.6 ~ 2008). Eu estava ficando confuso - observe denyhost e denyhosts no URL
Jeremy Hajek
Agradável! Copie /usr/local/bin/daemon-control-distpara /etc/init.d/denyhostsdepois de instalar e altere um caminho nesse arquivo:DENYHOSTS_BIN = "/usr/local/bin/denyhosts.py"
neu242
0

Ele não é mantido, mas o problema # 692229 foi corrigido, conforme observado aqui https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=692229

Fail2ban não é realmente uma alternativa se você deseja usar um servidor de sincronização. Eu não vi outros sistemas além de denyhosts que apóiam isso.

Então, desde que funcione, por que não usá-lo?

Roy Sigurd Karlsbakk
fonte