Recentemente notei em meus e-mails de logwatch de alguns servidores que, embora a denyhosts estivesse fazendo seu trabalho para algumas tentativas de login ssh de raiz de força bruta, outras parecem ser ignoradas e continuam a incomodar o SSH com milhares de tentativas por dia. Eu tenho sshd_config definido como PermitRootLogin no , então não é uma grande preocupação, mas ainda assim uma preocupação ...
Depois de um pouco de investigação, notei que o logwatch também estava me avisando sobre Entradas sem correspondência para esses mesmos IPs que assumem a forma de:
PAM {X} more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost={SUSP.NET.IP.ADDR} user=root : {MANY} time(s)
Considerando que os IPs que são banidos não têm essas entradas.
Um pouco de pesquisa puxou para cima esta troca na lista de discussão DenyHosts de janeiro deste ano que sugere que pelo menos uma outra pessoa tenha notado esse problema, mas nenhuma solução.
Depois de ler o FAQ de cima para baixo, olhei para o DenyHosts/regex.py pensando que poderia alterar um REGEX no arquivo conf. Parece-me como se as expressões regulares padrão já estivessem combinando outras linhas no arquivo de log para o IP que está passando pelo aperto denyhosts; e, portanto, proibir isso de qualquer maneira, mas isso não parece estar acontecendo.
Então, antes de pegar meu boné em Python, achei que valeria a pena postar aqui para ver se alguém já se deparou com e corrigiu esse problema.
CentOS 6.5
Python 2.6.6-52.el6
EPEL DenyHosts 2.6-20.el6
Mais investigação está me levando ao fato de que o projeto SF DenyHosts original não responde e já foi bifurcado - o Fedora atualizou o pacote da nova bifurcação, mas eles ainda não avançaram para a EPEL ...