* [sisyphus] /etc/hosts.deny
@ 2014-12-09 11:22 Gleb Kulikov
2014-12-09 18:21 ` Dmitry V. Levin
0 siblings, 1 reply; 16+ messages in thread
From: Gleb Kulikov @ 2014-12-09 11:22 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
Только у меня, с недавних пор, содержимое /etc.hosts.deny, не имеет никакой
силы?
Феерия...
#30550
--
Салют, /GLeb
UIN: 15341920
jabber://gleb@asd.iao.ru
sip://2387245@sipnet.ru (telephony)
skype://gleb_kulikov.tomsk (telephony)
^ permalink raw reply [flat|nested] 16+ messages in thread
* Re: [sisyphus] /etc/hosts.deny
2014-12-09 11:22 [sisyphus] /etc/hosts.deny Gleb Kulikov
@ 2014-12-09 18:21 ` Dmitry V. Levin
2014-12-10 3:03 ` Gleb Kulikov
` (2 more replies)
0 siblings, 3 replies; 16+ messages in thread
From: Dmitry V. Levin @ 2014-12-09 18:21 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
[-- Attachment #1: Type: text/plain, Size: 478 bytes --]
On Tue, Dec 09, 2014 at 05:22:32PM +0600, Gleb Kulikov wrote:
> Только у меня, с недавних пор, содержимое /etc.hosts.deny, не имеет никакой
> силы?
>
> Феерия...
>
> #30550
Некоторые сетевые службы не реализуют поддержку tcp_wrappers,
и с каждым днем поддержка tcp_wrappers будет только ослабевать.
Например, в openssh, начиная с версии 6.7p1, больше нет поддержки
tcp_wrappers.
Предлагаю использовать firewall, это будет надежнее и безопаснее.
--
ldv
[-- Attachment #2: Type: application/pgp-signature, Size: 181 bytes --]
^ permalink raw reply [flat|nested] 16+ messages in thread
* Re: [sisyphus] /etc/hosts.deny
2014-12-09 18:21 ` Dmitry V. Levin
@ 2014-12-10 3:03 ` Gleb Kulikov
2014-12-10 4:34 ` Gleb Kulikov
2014-12-16 6:24 ` Sergey
2 siblings, 0 replies; 16+ messages in thread
From: Gleb Kulikov @ 2014-12-10 3:03 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
В сообщении от [10 декабря 2014 Dmitry V. Levin] написал:
> Например, в openssh, начиная с версии 6.7p1, больше нет поддержки
> tcp_wrappers.
странное и печальное решение
> Предлагаю использовать firewall, это будет надежнее и безопаснее.
ну, проще записать (и если вдруг, найти, что заметно проще, чем в случае
айпитэйблэз) строчку в etc/hosts.deny, чем париться с правилами, запрещающими
работу с сервисами, но не препятствующими в случае p2p, например.
ох беда, огорчение...
--
Салют, /GLeb
UIN: 15341920
jabber://gleb@asd.iao.ru
sip://2387245@sipnet.ru (telephony)
skype://gleb_kulikov.tomsk (telephony)
^ permalink raw reply [flat|nested] 16+ messages in thread
* Re: [sisyphus] /etc/hosts.deny
2014-12-09 18:21 ` Dmitry V. Levin
2014-12-10 3:03 ` Gleb Kulikov
@ 2014-12-10 4:34 ` Gleb Kulikov
2014-12-12 10:04 ` Денис Смирнов
2014-12-16 6:24 ` Sergey
2 siblings, 2 replies; 16+ messages in thread
From: Gleb Kulikov @ 2014-12-10 4:34 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
В сообщении от [10 декабря 2014 Dmitry V. Levin] написал:
> Например, в openssh, начиная с версии 6.7p1, больше нет поддержки
> tcp_wrappers.
>
> Предлагаю использовать firewall, это будет надежнее и безопаснее.
йес.
ну, сделал генерацию правил iptables по hosts.deny. Докладываю результат:
правила всасываются (11071 строка hosts.deny порождает 44282 правила) более 30
минут. При этом LA на 3-х процессорной машине превышает 1.7, память льётся
ведром. Отличная замена libwrap, ага.
--
Салют, /GLeb
UIN: 15341920
jabber://gleb@asd.iao.ru
sip://2387245@sipnet.ru (telephony)
skype://gleb_kulikov.tomsk (telephony)
^ permalink raw reply [flat|nested] 16+ messages in thread
* Re: [sisyphus] /etc/hosts.deny
@ 2014-12-10 4:58 ` alexei
2014-12-15 5:09 ` Gleb Kulikov
0 siblings, 1 reply; 16+ messages in thread
From: alexei @ 2014-12-10 4:58 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
----- Исходное сообщение -----
> От: "Gleb Kulikov" <glebus@asd.iao.ru>
> Кому: "ALT Linux Sisyphus discussions" <sisyphus@lists.altlinux.org>
> Отправленные: Среда, 10 Декабрь 2014 г 12:34:38
> Тема: Re: [sisyphus] /etc/hosts.deny
> В сообщении от [10 декабря 2014 Dmitry V. Levin] написал:
>
>> Например, в openssh, начиная с версии 6.7p1, больше нет поддержки
>> tcp_wrappers.
>>
>> Предлагаю использовать firewall, это будет надежнее и безопаснее.
>
> йес.
>
> ну, сделал генерацию правил iptables по hosts.deny. Докладываю результат:
> правила всасываются (11071 строка hosts.deny порождает 44282 правила) более 30
> минут. При этом LA на 3-х процессорной машине превышает 1.7, память льётся
> ведром. Отличная замена libwrap, ага.
Как-то очень хтонично у вас получилось.
Могу порекомендовать пару моментов:
1 - для случаев, когда правил больше 10, пользоваться efw смерти подобно.
просто генерите batch-файл в формате iptables-save
2 - чтобы не рисовать 100500 правил в iptables, можно красиво все оформить через
2-3 правила + ipset. Это, кстати, положительно скажется на сетевой отзывцивости системы
и на нагрузку процессора.
^ permalink raw reply [flat|nested] 16+ messages in thread
* Re: [sisyphus] /etc/hosts.deny
2014-12-10 4:34 ` Gleb Kulikov
@ 2014-12-12 10:04 ` Денис Смирнов
1 sibling, 0 replies; 16+ messages in thread
From: Денис Смирнов @ 2014-12-12 10:04 UTC (permalink / raw)
To: sisyphus
[-- Attachment #1: Type: text/plain, Size: 417 bytes --]
On Wed, Dec 10, 2014 at 10:34:38AM +0600, Gleb Kulikov wrote:
> йес.
> ну, сделал генерацию правил iptables по hosts.deny. Докладываю результат:
> правила всасываются (11071 строка hosts.deny порождает 44282 правила) более 30
> минут. При этом LA на 3-х процессорной машине превышает 1.7, память льётся
> ведром. Отличная замена libwrap, ага.
man ipset
--
С уважением, Денис
http://mithraen.ru/
[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 181 bytes --]
^ permalink raw reply [flat|nested] 16+ messages in thread
* Re: [sisyphus] /etc/hosts.deny
2014-12-10 4:58 ` alexei
@ 2014-12-15 5:09 ` Gleb Kulikov
0 siblings, 0 replies; 16+ messages in thread
From: Gleb Kulikov @ 2014-12-15 5:09 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
В сообщении от [10 декабря 2014 alexei@taf.ru] написал:
> 2 - чтобы не рисовать 100500 правил в iptables, можно красиво все оформить
> через 2-3 правила + ipset. Это, кстати, положительно скажется на сетевой
Да, спасибо, об этом не подумал.
Действительно, нагрузка ощутимо снизилась.
Тем не менее, имхо, это не замена полноценной libwrap, точно так же, как и
либврап не заменяет файерволл:
1. фильтрация идёт по портам, а не по приложениям
2. нет аналога spawn/twist
3. нет оперативности
в итоге, теряется целый уровень дополнительного обеспечения безопасности.
--
Салют, /GLeb
UIN: 15341920
jabber://gleb@asd.iao.ru
sip://2387245@sipnet.ru (telephony)
skype://gleb_kulikov.tomsk (telephony)
^ permalink raw reply [flat|nested] 16+ messages in thread
* Re: [sisyphus] /etc/hosts.deny
2014-12-09 18:21 ` Dmitry V. Levin
2014-12-10 3:03 ` Gleb Kulikov
2014-12-10 4:34 ` Gleb Kulikov
@ 2014-12-16 6:24 ` Sergey
2014-12-16 7:18 ` Евгений Терешков
2 siblings, 1 reply; 16+ messages in thread
From: Sergey @ 2014-12-16 6:24 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
On Tuesday 09 December 2014, Dmitry V. Levin wrote:
> Предлагаю использовать firewall, это будет надежнее и
> безопаснее.
По повобу надёжности может вмешаться человеческий фактор
в виде упущения загрузить правила. Так что не больно
надёжнее. С hosts.deny, если там что-то написано, то само
приложение работает - не забудешь.
--
С уважением, Сергей.
^ permalink raw reply [flat|nested] 16+ messages in thread
* Re: [sisyphus] /etc/hosts.deny
2014-12-16 6:24 ` Sergey
@ 2014-12-16 7:18 ` Евгений Терешков
2014-12-16 10:03 ` Gleb Kulikov
2014-12-16 10:30 ` Dmitry V. Levin
0 siblings, 2 replies; 16+ messages in thread
From: Евгений Терешков @ 2014-12-16 7:18 UTC (permalink / raw)
To: sisyphus
Sergey пишет:
>> Предлагаю использовать firewall, это будет надежнее и
>> безопаснее.
> По повобу надёжности может вмешаться человеческий фактор
> в виде упущения загрузить правила. Так что не больно
> надёжнее. С hosts.deny, если там что-то написано, то само
> приложение работает - не забудешь.
Включить один раз (chkconfig iptables on или в etcnet по умолчанию
включено) выставив drop политикой по умолчанию и захочешь - не забудешь. Но
tcpwrappers конечно проще пользоваться, это не отнять.
Интересно, какими соображениями руководствуются апстримы, убирающие
существующую поддержку в коде. В частности апстрим openssh.
--
С уважением, Терешков Евгений.
Jabber ID: evg@altlinux.org, evg_krsk@jabber.ru
^ permalink raw reply [flat|nested] 16+ messages in thread
* Re: [sisyphus] /etc/hosts.deny
2014-12-16 7:18 ` Евгений Терешков
@ 2014-12-16 10:03 ` Gleb Kulikov
2014-12-16 11:22 ` Sergey Bolshakov
2014-12-16 10:30 ` Dmitry V. Levin
1 sibling, 1 reply; 16+ messages in thread
From: Gleb Kulikov @ 2014-12-16 10:03 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
В сообщении от [16 декабря 2014 Евгений Терешков] написал:
>
> Включить один раз (chkconfig iptables on или в etcnet по умолчанию
> включено) выставив drop политикой по умолчанию и захочешь - не забудешь. Но
> tcpwrappers конечно проще пользоваться, это не отнять.
Ребята, при чём тут проще?! Это ортогональные вещи, один путь дополняет (а не
отсекает!) другой. Право, создатели сетевой подсиситемы были (мягко говоря) не
глупее нас с вами. Ну как контролировать файрволом сервисы, порты в которых
назначаются случайно, например?
> Интересно, какими соображениями руководствуются апстримы, убирающие
> существующую поддержку в коде. В частности апстрим openssh.
Имхо, высокоидейными соображениями типа "файрвол делает это лучше и надёжнее"
(перевод на русский: "смотрите на файрвол, а нам лень").
Имхо, надо с этим бороться, снижение безопасности, штука недопустимая.
--
Салют, /GLeb
UIN: 15341920
jabber://gleb@asd.iao.ru
sip://2387245@sipnet.ru (telephony)
skype://gleb_kulikov.tomsk (telephony)
^ permalink raw reply [flat|nested] 16+ messages in thread
* Re: [sisyphus] /etc/hosts.deny
2014-12-16 7:18 ` Евгений Терешков
2014-12-16 10:03 ` Gleb Kulikov
@ 2014-12-16 10:30 ` Dmitry V. Levin
1 sibling, 0 replies; 16+ messages in thread
From: Dmitry V. Levin @ 2014-12-16 10:30 UTC (permalink / raw)
To: ALT Linux Sisyphus mailing list
[-- Attachment #1: Type: text/plain, Size: 342 bytes --]
On Tue, Dec 16, 2014 at 02:18:11PM +0700, Евгений Терешков wrote:
[...]
> Интересно, какими соображениями руководствуются апстримы, убирающие
> существующую поддержку в коде. В частности апстрим openssh.
Про openssh обсуждалось в апреле:
https://lists.mindrot.org/pipermail/openssh-unix-dev/2014-April/thread.html#32497
--
ldv
[-- Attachment #2: Type: application/pgp-signature, Size: 181 bytes --]
^ permalink raw reply [flat|nested] 16+ messages in thread
* Re: [sisyphus] /etc/hosts.deny
2014-12-16 10:03 ` Gleb Kulikov
@ 2014-12-16 11:22 ` Sergey Bolshakov
2014-12-16 13:38 ` Sergey
2014-12-17 5:34 ` Gleb Kulikov
0 siblings, 2 replies; 16+ messages in thread
From: Sergey Bolshakov @ 2014-12-16 11:22 UTC (permalink / raw)
To: sisyphus
>>>>> "Gleb" == Gleb Kulikov <glebus-hVp+cbOwntEvJsYlp49lxw@public.gmane.org> writes:
> В сообщении от [16 декабря 2014 Евгений Терешков] написал:
>>
>> Включить один раз (chkconfig iptables on или в etcnet по умолчанию
>> включено) выставив drop политикой по умолчанию и захочешь - не забудешь. Но
>> tcpwrappers конечно проще пользоваться, это не отнять.
> Ребята, при чём тут проще?! Это ортогональные вещи, один путь дополняет (а не
> отсекает!) другой. Право, создатели сетевой подсиситемы были (мягко говоря) не
> глупее нас с вами. Ну как контролировать файрволом сервисы, порты в которых
> назначаются случайно, например?
>> Интересно, какими соображениями руководствуются апстримы, убирающие
>> существующую поддержку в коде. В частности апстрим openssh.
> Имхо, высокоидейными соображениями типа "файрвол делает это лучше и надёжнее"
> (перевод на русский: "смотрите на файрвол, а нам лень").
> Имхо, надо с этим бороться, снижение безопасности, штука недопустимая.
Видите ли, tcp_wrappers не умеют IPv6 и не будут уметь уже никогда.
--
^ permalink raw reply [flat|nested] 16+ messages in thread
* Re: [sisyphus] /etc/hosts.deny
2014-12-16 11:22 ` Sergey Bolshakov
@ 2014-12-16 13:38 ` Sergey
2014-12-17 5:34 ` Gleb Kulikov
1 sibling, 0 replies; 16+ messages in thread
From: Sergey @ 2014-12-16 13:38 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
On Tuesday 16 December 2014, Sergey Bolshakov wrote:
> Видите ли, tcp_wrappers не умеют IPv6 и не будут уметь уже никогда.
Тут пишут иначе:
http://wikispaces.psu.edu/display/ipv6/General+IPv6+Notes#GeneralIPv6Notes-tcpwrappers
The following operating systems have IPv6 support in their tcpwrappers:
MacOS X 10.4 and higher
Solaris 8 and higher
RedHat Enterprise Linux 4 and higher
ftp://ftp.porcupine.org/pub/security/tcp_wrappers_7.6-ipv6.4.tar.gz
--
С уважением, Сергей.
^ permalink raw reply [flat|nested] 16+ messages in thread
* Re: [sisyphus] /etc/hosts.deny
2014-12-16 11:22 ` Sergey Bolshakov
2014-12-16 13:38 ` Sergey
@ 2014-12-17 5:34 ` Gleb Kulikov
2014-12-17 6:40 ` Sergey
1 sibling, 1 reply; 16+ messages in thread
From: Gleb Kulikov @ 2014-12-17 5:34 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
В сообщении от [16 декабря 2014 Sergey Bolshakov] написал:
>
> Видите ли, tcp_wrappers не умеют IPv6 и не будут уметь уже никогда.
Согласно man, умеет.
--
Салют, /GLeb
UIN: 15341920
jabber://gleb@asd.iao.ru
sip://2387245@sipnet.ru (telephony)
skype://gleb_kulikov.tomsk (telephony)
^ permalink raw reply [flat|nested] 16+ messages in thread
* Re: [sisyphus] /etc/hosts.deny
2014-12-17 5:34 ` Gleb Kulikov
@ 2014-12-17 6:40 ` Sergey
2014-12-18 3:04 ` Gleb Kulikov
0 siblings, 1 reply; 16+ messages in thread
From: Sergey @ 2014-12-17 6:40 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
On Wednesday 17 December 2014, Gleb Kulikov wrote:
> Согласно man, умеет.
В тарболе, из которого собран 7.6-alt11, не видно упоминаний
IPv6. А вот в tcp_wrappers_7.6-ipv6.4 это есть. По хорошему,
надо бы решить, уже выкинуть tcp_wrappers, или обновить до
7.6-ipv6.
На всякий случай, чтобы искать легче было:
http://bugzilla.altlinux.org/30570
--
С уважением, Сергей.
^ permalink raw reply [flat|nested] 16+ messages in thread
* Re: [sisyphus] /etc/hosts.deny
2014-12-17 6:40 ` Sergey
@ 2014-12-18 3:04 ` Gleb Kulikov
0 siblings, 0 replies; 16+ messages in thread
From: Gleb Kulikov @ 2014-12-18 3:04 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
В сообщении от [17 декабря 2014 Sergey] написал:
> надо бы решить, уже выкинуть tcp_wrappers, или обновить до
выкинуть?! какой кошмар!
> 7.6-ipv6.
Конечно!
--
Салют, /GLeb
UIN: 15341920
jabber://gleb@asd.iao.ru
sip://2387245@sipnet.ru (telephony)
skype://gleb_kulikov.tomsk (telephony)
^ permalink raw reply [flat|nested] 16+ messages in thread
end of thread, other threads:[~2014-12-18 3:04 UTC | newest]
Thread overview: 16+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2014-12-09 11:22 [sisyphus] /etc/hosts.deny Gleb Kulikov
2014-12-09 18:21 ` Dmitry V. Levin
2014-12-10 3:03 ` Gleb Kulikov
2014-12-10 4:34 ` Gleb Kulikov
2014-12-10 4:58 ` alexei
2014-12-15 5:09 ` Gleb Kulikov
2014-12-12 10:04 ` Денис Смирнов
2014-12-16 6:24 ` Sergey
2014-12-16 7:18 ` Евгений Терешков
2014-12-16 10:03 ` Gleb Kulikov
2014-12-16 11:22 ` Sergey Bolshakov
2014-12-16 13:38 ` Sergey
2014-12-17 5:34 ` Gleb Kulikov
2014-12-17 6:40 ` Sergey
2014-12-18 3:04 ` Gleb Kulikov
2014-12-16 10:30 ` Dmitry V. Levin
ALT Linux Sisyphus discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sisyphus/0 sisyphus/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sisyphus sisyphus/ http://lore.altlinux.org/sisyphus \
sisyphus@altlinux.ru sisyphus@altlinux.org sisyphus@lists.altlinux.org sisyphus@lists.altlinux.ru sisyphus@lists.altlinux.com sisyphus@linuxteam.iplabs.ru sisyphus@list.linux-os.ru
public-inbox-index sisyphus
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sisyphus
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git