Pregunta ¿Puede un /etc/hosts.deny muy grande reducir la velocidad de las conexiones SSH?


He estado usando denyhosts por un tiempo y noté mi /etc/hosts.deny se está volviendo bastante grande. Denyhosts agrega IPs a /etc/hosts.deny, y mis denyhosts están configurados para nunca purgar IPs.

$ wc -l /etc/hosts.deny
22149 /etc/hosts.deny

¿Podría esto convertirse en un problema? Realmente no entiendo cómo funciona libwrap. Esperemos que sea hashing estas entradas o algo para un acceso rápido, pero no he mirado ese código.

Estoy teniendo algunos problemas extraños de red donde mis conexiones SSH a un servidor de gitosis se cuelgan (en realidad, las actualizaciones de los paquetes de Symfony2 usando bin/vendors install). No estoy realmente seguro de cómo depurarlo, así que estoy buscando cosas que podrían ir mal con la caja, como la escasez de recursos.

Esto es en un servidor Ubuntu 10.04.4 LTS.


12
2018-02-28 23:07


origen


Libwrap no tiene hash en absoluto. Analiza el archivo en cada invocación, desafortunadamente para ti. - David Schwartz
denyhosts tiene opciones para purgar entradas con el tiempo. Generalmente encuentro que después de un mes o dos, un anfitrión determinado generalmente no intenta regresar. - Zoredache


Respuestas:


Sí.

Pero no debería ser mucho de una desaceleración a menos que tenga nombres en lugar de IPs allí, tenga activada la opción PARANOID, o ident activado (solicitando información de nombre de usuario). Y solo ralentizará la conexión inicial, no afectará nada una vez que se establezca la conexión y se pasen los datos.

Tu podrías intentar time tcpdmatch sshd 1.2.3.4 y time tcpdmatch sshd foo.example.com con el último elemento configurado en el nombre de host o IP del sistema desde el que está iniciando las conexiones. Eso debería reproducir la mayoría de los problemas de tiempo de procesamiento de sshd del archivo /etc/hosts.deny y mostrarle cuánto tiempo lleva.


14
2018-02-29 00:03