El paquete denyhosts en Ubuntu Trusty Tahr se elimina: ¿temporal o para siempre?

21

Mientras hacía una actualización de prueba de nuestro servidor Ubuntu a 14.04, descubrí que el paquete DenyHosts ya no está disponible. Instalarlo da el siguiente error:

apt-get install denyhosts
Reading package lists... Done
Building dependency tree       
Reading state information... Done
E: Unable to locate package denyhosts

Aparentemente se ha eliminado, según launchpad .

¿Denyhosts estará disponible en la versión final de Ubuntu 14.04?

Kees van Dieren
fuente
1
Usted hizo ejecutar apt-get updateantes de que el mandato de instalación correcta?
Seth
Parece que está / estaba en una propuesta de confianza, pero un par de errores abiertos parecen ser "no se ajustan a los estándares del sistema de archivos". Entonces, aunque no lo sé, alguien puede haber estado presionando para obtenerlo de ppa a repo y falló debido a los problemas de conformidad del sistema de archivos.
RobotHumans
+1 --- denyhosts es un software importante para mí. Se ha marcado como no mantenido, lo cual es bastante importante para un software sobre seguridad. Por lo tanto, debe adoptarse ... o tendremos que recurrir a la fuente.
Rmano
44
Creo que respondiste tu propia pregunta: "muerto río arriba; sin mantenimiento; disfuncional en el sid". Los proyectos ascendentes no mantenidos residirán en los repositorios, con parches, hasta que los paquetes ya no puedan parchear, por lo que parece el final para denyhosts. Hay muchas alternativas, incluidas iptables, consulte bodhizazen.net/Tutorials/iptables#Additional_Tips . desplácese hacia abajo un poco para "Usar iptables para rechazar / bloquear conexiones fallidas"
Panther
3
@Rmano - Lamento que denyhosts haya llegado a esta etapa, mira mi enlace, fail2ban, varias alternativas a denyhosts. Ver también bodhizazen.net/Tutorials/SSH_security
Panther

Respuestas:

19

Lamento que denyhosts haya llegado a esta etapa, pero creo que respondiste tu propia pregunta:

muerto río arriba; sin mantenimiento; disfuncional en sid

Los proyectos ascendentes no mantenidos residirán en los repositorios, con parches, hasta que los paquetes ya no puedan parchear, por lo que parece el final para denyhosts.

Mi mejor consejo es buscar alternativas.

Personalmente endurezco mi servidor ssh

Y usa iptables

sudo iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH --rsource -j ACCEPT
sudo iptables -A INPUT -m recent --update --seconds 600 --hitcount 8 --rttl --name SSH --rsource -j DROP 

Ver http://bodhizazen.com/Tutorials/iptables

todos los enlaces en esta publicación son de mi LUG;)

Pantera
fuente
Gracias, buscará en iptables y fail2ban como reemplazo.
Kees van Dieren
buena suerte, esas reglas de iptables que le di son una buena opción y no requieren ningún paquete adicional. Puede ser más estricto, pero las reglas son suficientes para todos menos para los niños de guiones más persistentes
Panther
Probaré las reglas de iptable. Mi problema es que esto limitará las conexiones repetidas, no solo los intentos fallidos, y usar unísono para sincronizar mis archivos significará que alguna vez haré MUCHAS conexiones (buenas). O estoy equivocado? Se verá en fail2ban ...
Rmano
@rmano Puede agregar una regla antes de estas que permita el puerto 22 para una IP específica, y siempre que ejecute Unison desde esa IP no tendrá problemas.
William Lawn Stewart
1
@WilliamLawnStewart ... esto es casi imposible, no tengo ip fija; Lo hago desde donde sea que esté. Parece que Fail2ban funcionará bien, se basa en el mismo principio de denyhosts.
Rmano
8

No, no regresará. bodhi ofrece algunas buenas sugerencias sobre cómo reemplazarlo, pero también vale la pena explicar por qué se eliminó.

Fue eliminado en Debian a solicitud del Equipo de Seguridad de Debian:

  • Hay problemas de seguridad sin resolver (por ejemplo, # 692229).
  • La herramienta está muerta corriente arriba (última versión 2008).
  • Existe una alternativa viable, fail2ban, que proporciona el mismo conjunto de características o mayor.

También puede consultar esta pregunta en ServerFault:

Denyhosts vs fail2ban vs iptables: ¿la mejor manera de evitar inicios de sesión de fuerza bruta?

andrewsomething
fuente
Principalmente publiqué esto para probar la nueva habilidad de publicar respuestas de mi aplicación Ubuntu Touch, StackBrowser . Puedo eliminarlo si la gente piensa que no es significativamente diferente del bodhi.
andrewsomething
3
No lo elimine --- tiene enlaces útiles. Gracias.
Rmano
4

Si bien DenyHosts no está disponible como paquete en Ubuntu, aquí hay una bifurcación del proyecto ascendente: http://denyhost.sf.net La bifurcación incluye parches de seguridad y es mejor compatible con Ubuntu. Puede instalarlo descargando el tarball y ejecutando

tar xzf denyhost-2.7.tar.gz
cd DenyHosts-2.7
sudo python setup.py install
Jesse
fuente
Ok, veo que este enlace 2.7 está oculto en comparación con el resto de las descargas de denyhosts (que fueron 2.6 ~ 2008). Me estaba confundiendo - tenga en cuenta denyhost y denyhosts en la URL
Jeremy Hajek
¡Agradable! Copiar /usr/local/bin/daemon-control-dista /etc/init.d/denyhostsdespués de instalar y cambiar una ruta en ese archivo:DENYHOSTS_BIN = "/usr/local/bin/denyhosts.py"
neu242
0

No se mantiene, pero el problema # 692229 está solucionado, como se indica aquí https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=692229

Fail2ban no es realmente una alternativa si desea utilizar un servidor de sincronización. No he visto otros sistemas además de denyhosts que admitan esto.

Entonces, mientras funcione, ¿por qué no usarlo?

Roy Sigurd Karlsbakk
fuente