Чи може дуже великий /etc/hosts.deny уповільнити з'єднання SSH?

12

Я деякий час використовую затримки, і я помітив, що моя /etc/hosts.denyстає досить великою. Denyhosts додає IP-адреси /etc/hosts.deny, а мій denyhosts налаштований ніколи не очищати IP-адреси.

$ wc -l /etc/hosts.deny
22149 /etc/hosts.deny

Чи може це стати проблемою? Я насправді не розумію, як працює libwrap. Сподіваємось, він записує ці записи або щось для швидкого доступу, але я не переглянув цей код.

У мене виникають дивні проблеми з мережею, де мої SSH-з'єднання з сервером gitosis висять (власне, оновлення пакетів Symfony2 з використанням bin/vendors install). Я не дуже впевнений, як це налагодити, тому я шукаю речі, які можуть бути не так з коробкою, як, наприклад, дефіцит ресурсів.

Це на сервері Ubuntu 10.04.4 LTS.

ssh  unix  git 
Адам Монсен
джерело
Libwrap зовсім не хеш. Він аналізує файл на кожній виклику, на жаль, для вас.
Девід Шварц
У denyhosts є можливість очищати записи з часом. Я, як правило, вважаю, що через місяць-два даний господар зазвичай не намагається повернутися.
Зоредаче

Відповіді:

14

Так.

Але це не повинно бути великим уповільненням, якщо у вас замість IP-адрес у вас не будуть імена , встановлено параметр PARANOID або ідентифікатор (запитуючи інформацію про ім’я користувача). І це лише сповільнить початкове з'єднання, не вплине ні на що, як тільки встановиться з'єднання і передасть дані.

Ви можете спробувати time tcpdmatch sshd 1.2.3.4і time tcpdmatch sshd foo.example.comз останнім набором елемента до імені хоста або IP - системи ви ініціювання з'єднання с. Це повинно відтворити більшість проблем із тимчасовою обробкою sshd-файлу /etc/hosts.deny і показати вам, скільки часу це займає.

freiheit
джерело
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.