Le paquet denyhosts dans Ubuntu Trusty Tahr est supprimé: temporaire ou pour toujours?

21

Lors d'une mise à niveau test de notre serveur Ubuntu vers la version 14.04, j'ai constaté que le package DenyHosts n'est plus disponible. L'installation donne l'erreur suivante:

apt-get install denyhosts
Reading package lists... Done
Building dependency tree       
Reading state information... Done
E: Unable to locate package denyhosts

Apparemment, il a été supprimé, selon le tableau de bord .

Denyhosts sera-t-il disponible dans la version finale d'Ubuntu 14.04?

security unsupported-packages Kees van Dieren
la source
1
Vous avez exécuté apt-get updateavant la commande d' installation à droite?
Seth
On dirait que c'est / était dans fidèlement proposé, mais quelques bogues ouverts semblent être "non conformes aux normes des systèmes de fichiers". Donc, bien que je ne sache pas, quelqu'un a peut-être tenté de le faire passer de ppa à repo et a échoué en raison des problèmes de conformité du système de fichiers.
RobotHumans
+1 --- denyhosts est un logiciel important pour moi. Il a marqué comme non entretenu, ce qui est assez important pour un logiciel sur la sécurité. Il faut donc l'adopter ... sinon il faudra recourir à la source.
Rmano
4
Je pense que vous avez répondu à votre propre question: "mort en amont; non entretenu; dysfonctionnel dans le sid". Les projets en amont non maintenus résideront dans les dépôts, avec des correctifs, jusqu'à ce que les packages ne puissent plus patcher, donc cela ressemble à la fin pour les serveurs deny. Il existe de nombreux suppléants, y compris iptables, voir bodhizazen.net/Tutorials/iptables#Additional_Tips . faites défiler un peu vers le bas pour "Utiliser iptables pour rejeter / bloquer les connexions qui ont échoué"
Panther
3
@Rmano - Je suis désolé que denyhosts ait atteint ce stade, regardez mon lien, fail2ban, plusieurs alternatives à denyhosts. Voir aussi bodhizazen.net/Tutorials/SSH_security
Panther

Réponses:

19

Je suis désolé que les hôtes aient atteint ce stade, mais je pense que vous avez répondu à votre propre question:

mort en amont; non entretenu; dysfonctionnel dans sid

Les projets en amont non maintenus résideront dans les dépôts, avec des correctifs, jusqu'à ce que les packages ne puissent plus patcher, donc cela ressemble à la fin pour les serveurs deny.

Mon meilleur conseil est de chercher des suppléants.

Personnellement je durcis mon serveur ssh

Et utilisez iptables

sudo iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH --rsource -j ACCEPT
sudo iptables -A INPUT -m recent --update --seconds 600 --hitcount 8 --rttl --name SSH --rsource -j DROP

Voir http://bodhizazen.com/Tutorials/iptables

tous les liens dans ce post sont de mon LUG;)

Panthère
la source
Merci, examinera iptables et fail2ban en remplacement.
Kees van Dieren
bonne chance à vous, ces règles iptables que je vous ai données sont une bonne option et ne nécessitent aucun package supplémentaire. Vous pouvez être plus strict, mais les règles sont suffisantes pour tous les enfants
Panther
Je vais tester des règles iptables. Mon problème est que cela limitera les connexions répétées, pas seulement les tentatives infructueuses --- et en utilisant unisson pour synchroniser mes fichiers, je ferai parfois BEAUCOUP de (bonnes) connexions. Ou je me trompe? Se penchera sur fail2ban ...
Rmano
@rmano Vous pouvez ajouter une règle avant celles-ci qui autorise le port 22 pour une IP spécifique, et tant que vous exécutez Unison à partir de cette IP, il n'y aura pas de problèmes.
William Lawn Stewart
1
@WilliamLawnStewart ... c'est presque impossible, je n'ai pas d'IP fixe; Je fais ça de partout où je suis. Fail2ban semble fonctionner correctement, est basé sur le même principe de denyhosts.
Rmano
8

Non, ça ne revient pas. Bodhi propose de bonnes suggestions sur la façon de le remplacer, mais cela vaut également la peine d'expliquer pourquoi il a été supprimé.

Il a été supprimé dans Debian à la demande de l'équipe de sécurité Debian:

  • Il y a des problèmes de sécurité non résolus (par exemple # 692229).
  • L'outil est mort en amont (dernière version 2008).
  • Il existe une alternative viable, fail2ban, qui fournit le même ensemble de fonctionnalités ou des fonctionnalités accrues.

Vous pouvez également consulter cette question sur ServerFault:

Denyhosts vs fail2ban vs iptables - le meilleur moyen d'empêcher les ouvertures de session par force brute?

andrewsomething
la source
J'ai surtout posté cela pour tester mon application Ubuntu Touch, StackBrowser , nouvelle capacité à poster des réponses. Je peux le supprimer si les gens pensent que ce n'est pas très différent de Bodhi.
andrewsomething
3
Ne le supprimez pas --- il a des liens utiles. Merci.
Rmano
4

Bien que DenyHosts ne soit pas disponible en tant que package dans Ubuntu, il existe une fourchette du projet en amont ici: http://denyhost.sf.net La fourche comprend des correctifs de sécurité et prend mieux en charge Ubuntu. Vous pouvez l'installer en téléchargeant l'archive tar et en exécutant

tar xzf denyhost-2.7.tar.gz
cd DenyHosts-2.7
sudo python setup.py install
Jesse
la source
Ok je vois que ce lien 2.7 est un peu caché par rapport au reste des téléchargements denyhosts (qui étaient tous 2.6 ~ 2008). Je devenais confus - notez denyhost et denyhosts dans l'URL
Jeremy Hajek
Agréable! Copiez /usr/local/bin/daemon-control-distvers /etc/init.d/denyhostsaprès l'installation et modifiez un chemin dans ce fichier:DENYHOSTS_BIN = "/usr/local/bin/denyhosts.py"
neu242
0

Il n'est pas maintenu, mais le problème # 692229 est résolu, comme indiqué ici https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=692229

Fail2ban n'est pas vraiment une alternative si vous souhaitez utiliser un serveur de synchronisation. Je n'ai pas vu d'autres systèmes que des hôtes deny qui prennent en charge cela.

Donc, tant qu'il fonctionne, pourquoi ne pas l'utiliser?

Roy Sigurd Karlsbakk
la source