Мне было поручено написать политику безопасности для применения к любому серверу Ubuntu, который мы разворачиваем на сайте клиента. Зная, как некоторые корпорации ограничивают доступ к ресурсам для определенных ящиков в своей сети, особенно банки, я задавался вопросом.
Позвольте мне объяснить, если я правильно понял, denyhost сам подключается к базе данных (или базам данных), чтобы либо сообщить, либо получить все «плохие» IP-адреса.
Первый вопрос: является ли эта база данных локальной или хранится где-то на хосте в Интернете.
Второй вопрос связан с первым. Если эта база данных находится в сети, насколько она защищена от взлома (злоумышленник может просто подделать базу данных, удалив ее новый IP)
Я буду очень признателен, если кто-нибудь сможет пролить свет на этот вопрос.
решение1
DenyHosts по умолчанию использует /var/log/auth.log для отслеживания попыток входа в систему. После блокировки IP-адреса он добавляется в несколько файлов:
/etc/hosts.deny
/var/lib/denyhosts/hosts
/var/lib/denyhosts/hosts-root
/var/lib/denyhosts/hosts-valid
/var/lib/denyhosts/hosts-restricted
/var/lib/denyhosts/user-hosts
Примечание: если вы собираетесь внести изменения в любой из этих файлов (например, удалить заблокированный IP-адрес), то вам следует сначала отключить службу.
$ sudo service denyhosts stop