Пакет denyhosts в Ubuntu Trusty Tahr удален: временный или навсегда?

21

Выполняя тестовое обновление нашего сервера Ubuntu до 14.04, я обнаружил, что пакет DenyHosts больше не доступен. Установка дает следующую ошибку:

apt-get install denyhosts
Reading package lists... Done
Building dependency tree       
Reading state information... Done
E: Unable to locate package denyhosts

По-видимому, он был удален, согласно панели запуска .

Будут ли Denyhosts доступны в финальной версии Ubuntu 14.04?

security unsupported-packages Кис ван Дирен
источник
1
Вы же запустить apt-get updateперед командой право установить?
Сет
Похоже, что это было / было предложено верным образом, но пара открытых ошибок выглядит как «не соответствующие стандартам файловой системы». Так что, хотя я не знаю, возможно, кто-то настаивал на том, чтобы перевести его из ppa в репо, и потерпел неудачу из-за проблем с соответствием файловой системы.
RobotHumans
+1 --- denyhosts - важная часть программного обеспечения для меня. Он помечен как необслуживаемый, что очень важно для программного обеспечения в отношении безопасности. Так что его нужно принять ... или нам придется прибегнуть к источнику.
Rmano
4
Я думаю, что вы ответили на свой вопрос: «мертвый вверх по течению; не обслуживаемый; неисправный в sid». Не поддерживаемые исходные проекты будут находиться в репозиториях с исправлениями до тех пор, пока пакеты больше не смогут исправляться, поэтому это выглядит как конец для denyhosts. Есть много альтернатив, включая iptables, см. Bodhizazen.net/Tutorials/iptables#Additional_Tips . прокрутите немного вниз, чтобы «Использовать iptables для отклонения / блокировки неудачных соединений»
Panther
3
@Rmano - я сожалею, что denyhosts достиг этой стадии, посмотрите мою ссылку, fail2ban, несколько альтернатив denyhosts. См. Также bodhizazen.net/Tutorials/SSH_security
Пантера

Ответы:

19

Я сожалею, что denyhosts достиг этой стадии, но я думаю, что вы ответили на свой вопрос:

мертвый вверх по течению; никто не поддерживался; дисфункциональный в сид

Не поддерживаемые исходные проекты будут находиться в репозиториях с исправлениями до тех пор, пока пакеты больше не смогут исправляться, поэтому это выглядит как конец для denyhosts.

Мой лучший совет - искать альтернативы.

Лично я защищаю свой SSH сервер

И использовать iptables

sudo iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH --rsource -j ACCEPT
sudo iptables -A INPUT -m recent --update --seconds 600 --hitcount 8 --rttl --name SSH --rsource -j DROP

Смотрите http://bodhizazen.com/Tutorials/iptables

все ссылки в этом посте взяты из моего LUG;)

пантера
источник
Спасибо, рассмотрим iptables и fail2ban в качестве замены.
Кис ван Дирен
удачи вам, эти правила iptables, которые я вам дал, являются хорошим вариантом и не требуют никаких дополнительных пакетов. Вы можете быть более строгими, но правила достаточны для всех, кроме самых настойчивых детишек сценария
Panther
Я опробую приемлемые правила. Моя проблема в том, что это ограничит повторяющиеся соединения, а не просто неудачные попытки - и использование unison для синхронизации моих файлов будет означать, что я когда-нибудь сделаю МНОГО (хороших) соединений. Или я не прав? Посмотрим на fail2ban ...
Rmano
@rmano Вы можете добавить правило перед этими, которое разрешит порт 22 для определенного IP-адреса, и до тех пор, пока вы запускаете Unison с этого IP-адреса, проблем не будет.
Уильям Лон Стюарт,
1
@WilliamLawnStewart ... это почти невозможно, у меня нет фиксированного IP; Я делаю это из любой точки мира. Fail2ban, кажется, будет работать нормально, основан на том же принципе, что и denyhosts.
Rmano
8

Нет, он не вернется. Бодхи предлагает несколько хороших советов о том, как его заменить, но также стоит объяснить, почему он был удален.

Он был удален в Debian по запросу команды безопасности Debian:

  • Есть нерешенные проблемы безопасности (например, # 692229).
  • Этот инструмент уже недоступен (последний выпуск 2008 г.).
  • Существует жизнеспособная альтернатива fail2ban, которая предоставляет такой же или расширенный набор функций.

Вы также можете проверить этот вопрос на ServerFault:

Denyhosts vs fail2ban vs iptables - лучший способ предотвратить грубые входы в систему?

andrewsomething
источник
В основном я опубликовал это, чтобы протестировать в приложении Ubuntu Touch StackBrowser новую возможность публиковать ответы. Я могу удалить это, если люди думают, что это существенно не отличается от бодхи.
Andrewsomething
3
Не удаляйте его - у него есть полезные ссылки. Спасибо.
Rmano
4

Хотя DenyHosts недоступен как пакет в Ubuntu, здесь есть ветвь вышестоящего проекта: http://denyhost.sf.net. Этот ветвь содержит исправления безопасности и лучше поддерживает Ubuntu. Вы можете установить его, скачав tarball и запустив

tar xzf denyhost-2.7.tar.gz
cd DenyHosts-2.7
sudo python setup.py install
Джесси
источник
Хорошо, я вижу, что эта ссылка 2.7 является своего рода скрытой по сравнению с остальными загрузками denyhosts (которые были все 2.6 ~ 2008). Я запутался - обратите внимание на denyhost и denyhosts в URL
Джереми Хайек
Ницца! Скопировать /usr/local/bin/daemon-control-distв /etc/init.d/denyhostsпосле установки и изменения одного пути в этом файле:DENYHOSTS_BIN = "/usr/local/bin/denyhosts.py"
neu242
0

Это не поддерживается, но проблема # 692229 исправлена, как отмечено здесь https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=692229

Fail2ban на самом деле не является альтернативой, если вы хотите использовать сервер синхронизации. Я не видел других систем, кроме denyhosts, которые поддерживают это.

Итак, пока это работает, почему бы не использовать его?

Рой Сигурд Карлсбакк
источник