Відхилення пакету в Ubuntu Trusty Tahr видалено: тимчасово чи назавжди?

21

Під час тестового оновлення нашого сервера Ubuntu до 14.04 я виявив, що пакет DenyHosts більше не доступний. Встановивши його, виникає така помилка:

apt-get install denyhosts
Reading package lists... Done
Building dependency tree       
Reading state information... Done
E: Unable to locate package denyhosts

Мабуть, його видалили, повідомляє стартпад .

Чи будуть Denyhosts доступні в остаточному випуску Ubuntu 14.04?

security  unsupported-packages 
Кіс ван Дієрен
джерело
1
Ви ж запустити apt-get updateперед командою право встановити?
Сет
Схоже, це є / було запропоновано надійно, але пара відкритих помилок виглядає як "не відповідає стандартам файлової системи". Тож, поки я не знаю, хтось, можливо, підштовхував перейти від ppa до repo і не вдався через проблеми відповідності файлової системи.
RobotHumans
+1 --- заперечення є важливою програмою для мене. Він позначений як незбережений, що досить важливо для програмного забезпечення щодо безпеки. Тож його потрібно прийняти ... або нам доведеться вдатися до джерела.
Рмано
4
Я думаю, ти відповів на власне запитання: "мертвий вгору за течією; непорушений; дисфункціональний в сиді". Незбережені проекти вгору за течією залишатимуться в репостах, з виправленнями, поки пакунки вже не зможуть зафіксувати, так що це виглядає як кінець для заборони. Є багато альтернативних, зокрема iptables див. Bodhizazen.net/Tutorials/iptables#Additional_Tips . прокрутіть трохи вниз до "Використовувати iptables, щоб відхилити / заблокувати невдалі з'єднання"
Panther
3
@Rmano - Я вибачте, що denyhosts досяг цієї стадії, подивіться на моє посилання, fail2ban, декілька альтернатив до denyhosts. Дивіться також bodhizazen.net/Tutorials/SSH_security
Пантера

Відповіді:

19

Мені шкода, що заперечення досягло цієї стадії, але я думаю, що ти відповів на власне запитання:

мертві вгору за течією; непорушений; дисфункціональні в сид

Незбережені проекти вгору за течією залишатимуться в репостах, з виправленнями, поки пакунки вже не зможуть виправити, так що це виглядає як кінець для заборони.

Моя найкраща порада - шукати альтернативи.

Особисто я загартовую свій ssh-сервер

І використовуйте iptables

sudo iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH --rsource -j ACCEPT
sudo iptables -A INPUT -m recent --update --seconds 600 --hitcount 8 --rttl --name SSH --rsource -j DROP

Дивіться http://bodhizazen.com/Tutorials/iptables

всі посилання в цій публікації з мого LUG;)

Пантера
джерело
Дякуємо, розглянемо iptables і fail2ban як заміну.
Кіс ван Дієрен
удачі вам, ті правила iptables, які я вам дав, - хороший варіант і не потребують додаткових пакетів. Ви можете бути більш суворими, але правил вистачає для всіх, крім самих наполегливих дітей із сценарію
Пантера
Я перевірю правила iptable. Моя проблема полягає в тому, що це обмежить повторне підключення, а не лише невдалі спроби --- і використання унісону для синхронізації моїх файлів означатиме, що я колись буду робити багато (хороших) з'єднань. Або я помиляюся? Подивимося на fail2ban ...
Rmano
@rmano Ви можете додати правило перед цим, яке дозволяє порту 22 для конкретного IP, і доки ви не запустите Unison з цього IP, у нього не виникне проблем.
Вільям Лаун Стюарт
1
@WilliamLawnStewart ... це майже неможливо, у мене немає фіксованого ip; Я роблю це з будь-якого місця, де я є. Fail2ban, здається, спрацює нормально, базується на тому самому принципі заборони.
Рмано
8

Ні, це не повертається. bodhi пропонує кілька хороших пропозицій щодо того, як ви можете його замінити, але також варто пояснити, чому це було видалено.

Він був видалений у Debian на вимогу команди безпеки Debian:

  • Існують неадекватні проблеми безпеки (наприклад, # 692229).
  • Інструмент мертвий вгору за течією (останній реліз 2008 року).
  • Існує життєздатна альтернатива, fail2ban, яка забезпечує той же або збільшений набір функцій.

Ви також можете перевірити це питання на ServerFault:

Denyhosts vs fail2ban vs iptables - найкращий спосіб запобігти грубі сили?

і що-небудь щось
джерело
Я в основному розміщував це, щоб перевірити свої додатки Ubuntu Touch, StackBrowser , нові можливості розміщення відповідей. Я можу видалити його, якщо люди думають, що він суттєво не відрізняється від боді.
andrewsomething
3
Не видаляйте його --- він має корисні посилання. Спасибі.
Рмано
4

Хоча DenyHosts не доступний як пакунок в Ubuntu, тут є роздрібний проект для поточного потоку: http://denyhost.sf.net Вилка включає виправлення безпеки та краще підтримує Ubuntu. Ви можете встановити його, завантаживши тарбол і запустивши

tar xzf denyhost-2.7.tar.gz
cd DenyHosts-2.7
sudo python setup.py install
Джессі
джерело
Гаразд, я бачу, що ця посилання 2,7 є якоюсь прихованою порівняно з рештою завантажень із затримкою (які були 2,6 ~ 2008). Я заплутався - зверніть увагу на заперечення та заборону в URL
Джеремі Гаек
Приємно! Скопіювати /usr/local/bin/daemon-control-distв /etc/init.d/denyhostsпісля установки і зміни одного шляху в цьому файлі:DENYHOSTS_BIN = "/usr/local/bin/denyhosts.py"
neu242
0

Це не підтримується, але виправлена ​​проблема № 692229, як зазначено тут https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=692229

Fail2ban насправді не є альтернативою, якщо ви хочете використовувати сервер синхронізації. Я не бачив інших систем, крім запретів, які це підтримують.

Отже, доки він працює, чому б не використовувати його?

Рой Сигурд Карлсбак
джерело
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.