Il pacchetto denyhosts in Ubuntu Trusty Tahr è cancellato: temporaneo o per sempre?

21

Durante un aggiornamento di prova del nostro server Ubuntu alla 14.04, ho scoperto che il pacchetto DenyHosts non è più disponibile. L'installazione dà il seguente errore:

apt-get install denyhosts
Reading package lists... Done
Building dependency tree       
Reading state information... Done
E: Unable to locate package denyhosts

Apparentemente è stato eliminato, secondo launchpad .

Denyhosts sarà disponibile nella versione finale di Ubuntu 14.04?

security unsupported-packages

— Kees van Dieren
fonte

1

Si ha eseguito apt-get updateprima del comando giusto installazione?

— Seth,

Sembra che sia / era in una proposta fidata, ma un paio di bug aperti sembrano essere "non conformi agli standard del filesystem". Quindi, anche se non lo so, qualcuno potrebbe aver spinto per ottenerlo da ppa a repo e non è riuscito a causa di problemi di conformità del filesystem.

— RobotHumans,

+1 --- denyhosts è un software importante per me. È stato contrassegnato come non mantenuto, il che è abbastanza importante per un software sulla sicurezza. Quindi deve essere adottato ... o dovremo ricorrere alla fonte.

— Rmano,

4

Penso che tu abbia risposto alla tua domanda: "morto a monte; non mantenuto; disfunzionale in sid". I progetti upstream non mantenuti risiederanno nei repository, con patch, fino a quando i pacchetti non potranno più patch, quindi sembra la fine dei denyhosts. Esistono molte alternative, tra cui iptables vedi bodhizazen.net/Tutorials/iptables#Additional_Tips . scorri verso il basso solo fino a "Usa iptables per rifiutare / bloccare le connessioni fallite"

— Pantera

3

@Rmano - Mi dispiace che denyhosts abbia raggiunto questo stadio, guarda il mio link, fail2ban, diversi sostituti di denyhosts. Vedi anche bodhizazen.net/Tutorials/SSH_security

— Panther

19

Mi dispiace che denyhosts abbia raggiunto questo stadio, ma penso che tu abbia risposto alla tua domanda:

a monte morto; non mantenuto; disfunzionale in sid

I progetti upstream non mantenuti risiederanno nei repository, con patch, fino a quando i pacchetti non potranno più patch, quindi sembra la fine dei denyhosts.

Il mio miglior consiglio è di cercare supplenti.

Personalmente ho indurito il mio server SSH

E usa iptables

sudo iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH --rsource -j ACCEPT
sudo iptables -A INPUT -m recent --update --seconds 600 --hitcount 8 --rttl --name SSH --rsource -j DROP

Vedi http://bodhizazen.com/Tutorials/iptables

tutti i collegamenti in questo post provengono dal mio LUG;)

— Pantera
fonte

Grazie, esamineremo iptables e fail2ban in sostituzione.

— Kees van Dieren,

buona fortuna a te, quelle regole iptables che ti ho dato sono una buona opzione e non richiedono alcun pacchetto aggiuntivo. Puoi essere più severo, ma le regole sono sufficienti per tutti tranne i più persistenti script kiddies

— Panther

Proverò le regole di iptable. Il mio problema è che questo limiterà le connessioni ripetute, non solo i tentativi falliti --- e l'uso dell'unisono per sincronizzare i miei file significherà che a volte farò MOLTE (buone) connessioni. O mi sbaglio? Guarderò fail2ban ...

— Rmano

@rmano È possibile aggiungere una regola prima di quelle che consente la porta 22 per un IP specifico e finché si esegue Unison da quell'IP, non si verificheranno problemi.

— William Lawn Stewart,

1

@WilliamLawnStewart ... questo è quasi impossibile, non ho un IP fisso; Lo faccio ovunque io sia. Fail2ban sembra funzionare bene, si basa sullo stesso principio di denyhosts.

— Rmano,

8

No, non sta tornando. bodhi offre alcuni buoni suggerimenti su come sostituirlo, ma vale anche la pena spiegare perché è stato rimosso.

È stato rimosso in Debian su richiesta del team di sicurezza Debian:

Esistono problemi di sicurezza non risolti (ad es. # 692229).

Lo strumento è completamente a monte (ultima versione 2008).

Esiste un'alternativa valida, fail2ban, che fornisce lo stesso o un set di funzionalità aumentato.

Potresti anche voler dare un'occhiata a questa domanda su ServerFault:

Denyhosts vs fail2ban vs iptables: il modo migliore per impedire accessi a forza bruta?

— andrewsomething
fonte

Per lo più l'ho pubblicato per testare la mia app Ubuntu Touch, StackBrowser , nuova possibilità di pubblicare risposte. Posso cancellarlo se la gente pensa che non sia significativamente diverso da quello di Bodhi.

— Andrewsomething

3

Non eliminarlo --- ha collegamenti utili. Grazie.

— Rmano,

4

Mentre DenyHosts non è disponibile come pacchetto in Ubuntu, qui c'è un fork del progetto upstream: http://denyhost.sf.net Il fork include patch di sicurezza e supporta meglio Ubuntu. Puoi installarlo scaricando il tarball ed eseguendolo

tar xzf denyhost-2.7.tar.gz
cd DenyHosts-2.7
sudo python setup.py install

— Jesse
fonte

Ok, vedo che questo link 2.7 è un po 'nascosto rispetto al resto dei download denyhosts (che erano tutti 2.6 ~ 2008). Mi stavo confondendo - nota denyhost e denyhosts nell'URL

— Jeremy Hajek

Bello! Copia /usr/local/bin/daemon-control-distsu /etc/init.d/denyhostsdopo l'installazione e modifica un percorso in quel file:DENYHOSTS_BIN = "/usr/local/bin/denyhosts.py"

— neu242

0

Non viene mantenuto, ma il problema n. 692229 è stato risolto, come indicato qui https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=692229

Fail2ban non è davvero un'alternativa se si desidera utilizzare un server di sincronizzazione. Non ho visto altri sistemi che denyhosts che supportano questo.

Quindi, finché funziona, perché non usarlo?

— Roy Sigurd Karlsbakk
fonte

-1

Sembra che un fork sia ora gestito su https://github.com/denyhosts/denyhosts e la versione corrente è 2.9.

— Giorgio
fonte