¿Puede un /etc/hosts.deny muy grande ralentizar las conexiones SSH?

12

He estado usando denyhosts por un tiempo y noté que mi se /etc/hosts.denyestá volviendo bastante grande. Denyhosts agrega IP a /etc/hosts.deny, y my denyhosts está configurado para nunca purgar IP.

$ wc -l /etc/hosts.deny
22149 /etc/hosts.deny

¿Podría esto convertirse en un problema? Realmente no entiendo cómo funciona libwrap. Con suerte, está haciendo hash estas entradas o algo para un acceso rápido, pero no he mirado ese código.

Tengo algunos problemas de red extraños en los que se cuelgan mis conexiones SSH a un servidor de gitosis (en realidad, las actualizaciones de los paquetes de Symfony2 usando bin/vendors install). No estoy realmente seguro de cómo depurarlo, así que estoy buscando cosas que podrían estar mal con la caja, como la escasez de recursos.

Esto está en un servidor Ubuntu 10.04.4 LTS.

Adam Monsen
fuente
Libwrap no tiene nada de hash. Analiza el archivo en cada invocación, desafortunadamente para usted.
David Schwartz
denyhosts tiene opciones para purgar entradas con el tiempo. Generalmente encuentro que después de un mes o dos, un host determinado generalmente no intenta regresar.
Zoredache

Respuestas:

14

Si.

Pero no debería ser una gran ralentización a menos que tenga nombres en lugar de IP allí, tenga configurada la opción PARANOID o la identidad activada (solicitando información de nombre de usuario). Y solo ralentizará la conexión inicial, no afectará nada una vez que se establezca la conexión y pase datos.

Puede intentar time tcpdmatch sshd 1.2.3.4y time tcpdmatch sshd foo.example.comcon el último elemento establecido en el nombre de host o IP del sistema desde el que está iniciando las conexiones. Eso debería reproducir la mayoría de los problemas de sincronización del procesamiento de sshd del archivo /etc/hosts.deny y mostrarle cuánto tiempo lleva.

freiheit
fuente