Um /etc/hosts.deny muito grande pode retardar as conexões SSH?

12

Estou usando o denyhosts há algum tempo e notei que meu /etc/hosts.deny está ficando muito grande. O Denyhosts adiciona IPs a /etc/hosts.deny e meu denyhosts é configurado para nunca remover IPs.

$ wc -l /etc/hosts.deny
22149 /etc/hosts.deny

Isso pode se tornar um problema? Eu não entendo como o libwrap funciona. Espero que seja hashing essas entradas ou algo para acesso rápido, mas eu não olhei para esse código.

Estou tendo alguns problemas de rede estranhos onde minhas conexões SSH para um servidor de gitosis estão pendentes (na verdade, atualizações de pacotes configuráveis do Symfony2 usando bin/vendors install ). Não tenho certeza de como depurá-lo, então estou procurando coisas que possam estar dando errado com a caixa, como a falta de recursos.

Isso está em um servidor Ubuntu 10.04.4 LTS.

    
por Adam Monsen 29.02.2012 / 00:07

1 resposta

14

Sim.

Mas não deve ser uma grande desaceleração a menos que você tenha nomes ao invés de IPs , tenha a opção PARANOID definida ou ident seja ativado (perguntando para informações de nome de usuário). E isso só retardará a conexão inicial, não afetará nada depois que a conexão for estabelecida e transmitindo dados.

Você pode tentar time tcpdmatch sshd 1.2.3.4 e time tcpdmatch sshd foo.example.com com o último item definido para o nome do host ou IP do sistema do qual você está iniciando conexões. Isso deve reproduzir a maioria dos problemas de tempo do sshd processando o arquivo /etc/hosts.deny e mostrar o tempo que está demorando.

    
por 29.02.2012 / 01:03

Tags