Me encargaron escribir una política de seguridad para aplicarla a cualquier servidor Ubuntu que implementemos en el sitio de un cliente. Sabiendo que algunas empresas son restrictivas en cuanto a qué recursos están disponibles para cada caja en su red, especialmente los bancos, me he estado preguntando.
Permítanme explicarles, si lo entiendo bien, denyhost se conecta a una base de datos (o bases de datos) para informar o recuperar todas las IP "malas".
La primera pregunta es si esa base de datos es local o está almacenada en algún lugar de un host en Internet.
La segunda pregunta está relacionada con la primera. Si esa base de datos está en línea, qué tan segura es de ser pirateada (un atacante podría manipular la base de datos eliminando su nueva IP)
Realmente agradecería si alguien pudiera arrojar algo de luz sobre esto.
Respuesta1
DenyHosts utiliza de forma predeterminada /var/log/auth.log para monitorear los intentos de inicio de sesión. Una vez que se bloquea una IP, se agrega a algunos archivos:
/etc/hosts.deny
/var/lib/denyhosts/hosts
/var/lib/denyhosts/hosts-root
/var/lib/denyhosts/hosts-valid
/var/lib/denyhosts/hosts-restricted
/var/lib/denyhosts/user-hosts
nota: si va a realizar cambios en cualquiera de estos archivos (es decir, para eliminar la IP prohibida), primero debe cerrar el servicio.
$ sudo service denyhosts stop