Um /etc/hosts.deny muito grande pode desacelerar as conexões SSH?

12

Estou usando denyhosts há um tempo e notei que o meu /etc/hosts.denyestá ficando bastante grande. Denyhosts adiciona IPs a /etc/hosts.deny, e meus denyhosts estão configurados para nunca limpar IPs.

$ wc -l /etc/hosts.deny
22149 /etc/hosts.deny

Isso pode se tornar um problema? Eu realmente não entendo como libwrap funciona. Espero que esteja fazendo o hash dessas entradas ou algo do tipo para acesso rápido, mas não observei esse código.

Estou tendo alguns problemas de rede estranhos em que minhas conexões SSH com um servidor de gitosis estão paralisadas (na verdade, atualizações dos pacotes Symfony2 usando bin/vendors install). Não tenho muita certeza de como depurá-lo, por isso estou procurando coisas que podem estar dando errado com a caixa, como falta de recursos.

Este é um servidor Ubuntu 10.04.4 LTS.

ssh  unix  git 
Adam Monsen
fonte
Libwrap não mistura nada. Ele analisa o arquivo em cada chamada, infelizmente para você.
David Schwartz
denyhosts tem opções para limpar entradas ao longo do tempo. Geralmente, acho que depois de um mês ou dois, um determinado host geralmente não tenta voltar.
Zoredache

Respostas:

14

Sim.

Mas não deve ser muito lento, a menos que você tenha nomes em vez de IPs , tenha a opção PARANOID definida ou ident ativada (solicitando informações de nome de usuário). E isso apenas reduzirá a velocidade da conexão inicial, não afetará nada quando a conexão for estabelecida e a transmissão de dados.

Você pode tentar time tcpdmatch sshd 1.2.3.4e time tcpdmatch sshd foo.example.comcom o último item definido como o nome do host ou o IP do sistema do qual você está iniciando as conexões. Isso deve reproduzir a maioria dos problemas de tempo do sshd ao processar o arquivo /etc/hosts.deny e mostrar quanto tempo está demorando.

freiheit
fonte
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.