Paket denyhosts in Ubuntu Trusty Tahr wird gelöscht: temporär oder für immer?

21

Während eines Test-Upgrades unseres Ubuntu-Servers auf 14.04 stellte ich fest, dass das Paket DenyHosts nicht mehr verfügbar ist. Bei der Installation tritt folgender Fehler auf:

apt-get install denyhosts
Reading package lists... Done
Building dependency tree       
Reading state information... Done
E: Unable to locate package denyhosts

Anscheinend wurde es laut Launchpad gelöscht .

Wird Denyhosts in der endgültigen Version von Ubuntu 14.04 verfügbar sein?

security unsupported-packages Kees van Dieren
quelle
1
Sie haben laufen , apt-get updatebevor der Befehl richtig installieren?
Seth,
Sieht so aus, als wäre / war es in einem vertrauenswürdigen Vorschlag, aber einige der offenen Fehler scheinen Dinge zu sein, die den Dateisystemstandards nicht entsprechen. Also, obwohl ich es nicht weiß, hat jemand versucht, es von ppa zu repo zu bringen und ist aufgrund von Problemen mit der Konformität des Dateisystems gescheitert.
RobotHumans
+1 --- Denyhosts ist ein wichtiges Stück Software für mich. Es wurde als nicht gewartet markiert, was für eine Software zum Thema Sicherheit sehr wichtig ist. Also muss es übernommen werden ... oder wir müssen auf die Quelle zurückgreifen.
Rmano
4
Ich denke, Sie haben Ihre eigene Frage beantwortet: "tot stromaufwärts, nicht gewartet, in sid nicht funktionsfähig". Nicht gewartete Upstream-Projekte werden mit Patches in den Repos gespeichert, bis die Pakete nicht mehr gepatcht werden können. Das scheint also das Ende für Denyhosts zu sein. Es gibt viele Alternativen, einschließlich iptables, siehe bodhizazen.net/Tutorials/iptables#Additional_Tips . Scrollen Sie ein wenig nach unten zu "Verwenden Sie iptables, um fehlgeschlagene Verbindungen abzulehnen / zu blockieren"
Panther
3
@Rmano - Es tut mir leid, Denyhosts hat dieses Stadium erreicht, schau auf meinen Link, fail2ban, mehrere Alternativen zu Denyhosts. Siehe auch bodhizazen.net/Tutorials/SSH_security
Panther

Antworten:

19

Es tut mir leid, dass Denyhosts dieses Stadium erreicht hat, aber ich denke, Sie haben Ihre eigene Frage beantwortet:

tot stromaufwärts; ungepflegt; dysfunktional in sid

Nicht gewartete Upstream-Projekte werden mit Patches in den Repos gespeichert, bis die Pakete nicht mehr gepatcht werden können. Das scheint also das Ende für Denyhosts zu sein.

Mein bester Rat ist, nach Alternativen zu suchen.

Persönlich habe ich meinen SSH-Server gehärtet

Und benutze iptables

sudo iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH --rsource -j ACCEPT
sudo iptables -A INPUT -m recent --update --seconds 600 --hitcount 8 --rttl --name SSH --rsource -j DROP

Siehe http://bodhizazen.com/Tutorials/iptables

Alle Links in diesem Beitrag stammen von meiner LUG;)

Panther
quelle
Danke, werde iptables und fail2ban als Ersatz ansehen.
Kees van Dieren
Viel Glück, diese Iptables-Regeln, die ich dir gegeben habe, sind eine nette Option und erfordern keine zusätzlichen Pakete. Sie können strenger sein, aber die Regeln sind ausreichend für alle außer den hartnäckigsten Skriptkiddies
Panther
Ich werde iptable Regeln testen. Mein Problem ist, dass dies wiederholte Verbindungen einschränkt, nicht nur fehlgeschlagene Versuche - und die Verwendung von unisono zum Synchronisieren meiner Dateien bedeutet, dass ich manchmal VIELE (gute) Verbindungen herstellen werde. Oder irre ich mich? Wird auf fail2ban schauen ...
Rmano
@rmano Vor diesen Regeln können Sie eine Regel hinzufügen, die Port 22 für eine bestimmte IP-Adresse zulässt. Solange Sie Unison von dieser IP-Adresse aus ausführen, treten keine Probleme auf.
William Lawn Stewart
1
@ WilliamLawnStewart ... das ist fast unmöglich, ich habe keine feste IP; Ich mache das von überall, wo ich bin. Fail2ban scheint das ok zu funktionieren, basiert auf dem gleichen Prinzip von Denyhosts.
Rmano
8

Nein, es kommt nicht zurück. Bodhi bietet einige gute Vorschläge, wie Sie es ersetzen können, aber es lohnt sich auch zu erklären, warum es entfernt wurde.

Es wurde auf Anfrage des Debian-Sicherheitsteams in Debian entfernt :

  • Es gibt Sicherheitslücken (zB # 692229).
  • Das Tool ist nicht mehr in Betrieb (letzte Version 2008).
  • Es gibt eine praktikable Alternative, fail2ban, die den gleichen oder einen erweiterten Funktionsumfang bietet.

Möglicherweise möchten Sie auch diese Frage in ServerFault überprüfen:

Denyhosts vs fail2ban vs iptables - der beste Weg, um Brute Force-Anmeldungen zu verhindern?

undetwas
quelle
Ich habe dies hauptsächlich gepostet, um den StackBrowser meiner Ubuntu Touch-App zu testen . Ich kann es löschen, wenn die Leute denken, dass es sich nicht wesentlich von Bodhis unterscheidet.
Andrewsomething
3
Lösche es nicht - es hat nützliche Links. Vielen Dank.
Rmano
4

Während DenyHosts in Ubuntu nicht als Paket verfügbar ist, gibt es hier einen Fork des Upstream-Projekts: http://denyhost.sf.net Der Fork enthält Sicherheitspatches und unterstützt Ubuntu besser. Sie können es installieren, indem Sie den Tarball herunterladen und ausführen

tar xzf denyhost-2.7.tar.gz
cd DenyHosts-2.7
sudo python setup.py install
Jesse
quelle
Ok, ich sehe, dass dieser 2.7-Link im Vergleich zu den restlichen Denyhosts-Downloads (alle 2.6 ~ 2008) irgendwie versteckt ist. Ich war verwirrt - notiere denyhost und denyhosts in der URL
Jeremy Hajek
Nett! Kopieren Sie /usr/local/bin/daemon-control-distauf /etc/init.d/denyhostsnach der Installation und Änderung einen Pfad in der Datei:DENYHOSTS_BIN = "/usr/local/bin/denyhosts.py"
neu242
0

Es wird nicht gewartet, aber das Problem # 692229 wurde behoben, wie hier angegeben: https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=692229

Fail2ban ist keine echte Alternative, wenn Sie einen Synchronisierungsserver verwenden möchten. Ich habe keine anderen Systeme als Denyhosts gesehen, die dies unterstützen.

Also, solange es funktioniert, warum nicht?

Roy Sigurd Karlsbakk
quelle