Paket denyhosts di Ubuntu Trusty Tahr dihapus: sementara atau selamanya?

21

Saat melakukan uji-upgrade server Ubuntu kami ke 14,04, saya menemukan bahwa paket DenyHosts tidak lagi tersedia. Menginstalnya memberikan kesalahan berikut:

apt-get install denyhosts
Reading package lists... Done
Building dependency tree       
Reading state information... Done
E: Unable to locate package denyhosts

Rupanya itu telah dihapus, menurut launchpad .

Akankah Denyhosts tersedia dalam rilis final Ubuntu 14.04?

security unsupported-packages Kees van Dieren
sumber
1
Anda sudah menjalankan apt-get updatesebelum perintah install kan?
Seth
Sepertinya ini adalah / dalam usulan yang dapat dipercaya, tetapi beberapa bug terbuka tampaknya "tidak sesuai dengan standar filesystem". Jadi, sementara saya tidak tahu, seseorang mungkin telah berusaha untuk mendapatkannya dari ppa ke repo dan gagal karena masalah kesesuaian sistem file.
RobotHumans
+1 --- denyhosts adalah bagian penting dari perangkat lunak bagi saya. Itu telah ditandai sebagai tidak terawat, yang cukup penting untuk perangkat lunak tentang keamanan. Jadi itu perlu diadopsi ... atau kita harus beralih ke sumbernya.
Rmano
4
Saya pikir Anda menjawab pertanyaan Anda sendiri: "mati di hulu; tidak dirawat; disfungsional di samping". Proyek-proyek hulu yang tidak terawat akan berada di dalam repo, dengan tambalan, hingga paket tidak dapat lagi ditambal, jadi sepertinya akhir untuk denyhosts. Ada banyak alternatif, termasuk iptables, lihat bodhizazen.net/Tutorials/iptables#Additional_Tips . gulirkan sedikit ke bawah untuk "Gunakan iptables untuk menolak / memblokir koneksi yang gagal"
Panther
3
@Rmano - Saya minta maaf denyhosts telah mencapai tahap ini, lihat tautan saya, fail2ban, beberapa alternatif untuk denyhosts. Lihat juga bodhizazen.net/Tutorials/SSH_security
Panther

Jawaban:

19

Saya minta maaf denyhosts telah mencapai tahap ini, tetapi saya pikir Anda menjawab pertanyaan Anda sendiri:

mati di hulu; tidak dirawat; disfungsional di sid

Proyek-proyek hulu yang tidak terawat akan berada di dalam repo, dengan tambalan, hingga paket tidak dapat lagi ditambal, jadi sepertinya akhir untuk denyhosts.

Saran terbaik saya adalah mencari alternatif.

Secara pribadi saya mengeraskan server ssh saya

Dan gunakan iptables

sudo iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH --rsource -j ACCEPT
sudo iptables -A INPUT -m recent --update --seconds 600 --hitcount 8 --rttl --name SSH --rsource -j DROP

Lihat http://bodhizazen.com/Tutorials/iptables

semua tautan dalam posting ini berasal dari LUG saya;)

Harimau kumbang
sumber
Terima kasih, akan melihat iptables dan fail2ban sebagai penggantinya.
Kees van Dieren
semoga berhasil, aturan iptables yang saya berikan kepada Anda adalah pilihan yang bagus dan tidak memerlukan paket tambahan. Anda bisa lebih ketat, tetapi aturannya cukup untuk semua kecuali kiddies naskah paling gigih
Panther
Saya akan menguji aturan iptable. Masalah saya adalah bahwa ini akan membatasi koneksi berulang, bukan hanya upaya gagal --- dan menggunakan serentak untuk menyinkronkan file saya akan berarti bahwa saya kadang-kadang akan melakukan BANYAK koneksi (baik). Atau saya salah? Akan melihat fail2ban ...
Rmano
@rmano Anda dapat menambahkan aturan sebelum yang memungkinkan port 22 untuk IP tertentu, dan selama Anda menjalankan Unison dari IP itu maka tidak akan ada masalah.
William Lawn Stewart
1
@ WilliamLawnStewart ... ini hampir mustahil, saya tidak punya ip tetap; Saya melakukan itu dari mana saja saya berada. Fail2ban tampaknya akan berfungsi dengan baik, didasarkan pada prinsip yang sama dengan denyhosts.
Rmano
8

Tidak, itu tidak kembali. bodhi menawarkan beberapa saran bagus tentang bagaimana Anda bisa menggantinya, tetapi ada baiknya juga menjelaskan mengapa itu dihapus.

Itu dihapus di Debian atas permintaan Tim Keamanan Debian:

  • Ada masalah keamanan yang belum diatasi (mis. # 692229).
  • Alat ini mati di hulu (rilis terakhir 2008).
  • Ada alternatif yang layak, fail2ban, yang menyediakan set fitur yang sama atau meningkat.

Anda mungkin juga ingin memeriksa pertanyaan ini di ServerFault:

Denyhosts vs fail2ban vs iptables- cara terbaik untuk mencegah masuknya brute force?

andrewsomething
sumber
Saya kebanyakan memposting ini untuk menguji aplikasi Ubuntu Touch saya, StackBrowser , kemampuan baru untuk mengirim jawaban. Saya dapat menghapusnya jika orang berpikir itu tidak jauh berbeda dari bodhi.
andrewsomething
3
Jangan hapus --- ini memiliki tautan yang bermanfaat. Terima kasih.
Rmano
4

Walaupun DenyHosts tidak tersedia sebagai paket di Ubuntu, ada fork dari proyek upstream di sini: http://denyhost.sf.net Garpu mencakup tambalan keamanan dan lebih baik mendukung Ubuntu. Anda dapat menginstalnya dengan mengunduh tarball dan menjalankannya

tar xzf denyhost-2.7.tar.gz
cd DenyHosts-2.7
sudo python setup.py install
Jesse
sumber
Oke, saya melihat tautan 2.7 ini agak tersembunyi dibandingkan dengan unduhan yang lain dari denhosts (yang semuanya 2,6 ~ 2008). Saya mulai bingung - perhatikan denyhost dan denyhosts di URL
Jeremy Hajek
Bagus! Salin /usr/local/bin/daemon-control-distke /etc/init.d/denyhostssetelah menginstal dan mengubah satu jalur di file itu:DENYHOSTS_BIN = "/usr/local/bin/denyhosts.py"
neu242
0

Tidak dipelihara, tetapi masalah # 692229 sudah diperbaiki, seperti yang tercantum di sini https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=692229

Fail2ban sebenarnya bukan alternatif jika Anda ingin menggunakan server sinkronisasi. Saya belum melihat sistem lain selain denyhosts yang mendukung ini.

Jadi, selama masih berfungsi, mengapa tidak menggunakannya?

Roy Sigurd Karlsbakk
sumber