Назад | Перейти на главную страницу

Может ли очень большой /etc/hosts.deny замедлить SSH-соединения?

Некоторое время я использовал denyhosts и заметил, что /etc/hosts.deny становится довольно большим. Denyhosts добавляет IP-адреса в /etc/hosts.deny, и мой denyhosts настроен так, чтобы никогда не очищать IP-адреса.

$ wc -l /etc/hosts.deny
22149 /etc/hosts.deny

Может ли это стать проблемой? Я не очень понимаю, как работает libwrap. Надеюсь, он хеширует эти записи или что-то в этом роде для быстрого доступа, но я не смотрел на этот код.

У меня возникают странные сетевые проблемы, когда мои SSH-подключения к серверу gitosis зависают (на самом деле, обновления пакетов Symfony2 с использованием bin/vendors install). Я не совсем уверен, как его отлаживать, поэтому я ищу вещи, которые могут пойти не так с коробкой, например, нехватка ресурсов.

Это на сервере Ubuntu 10.04.4 LTS.

Да.

Но это не должно вызывать большого замедления, если у вас нет имена вместо того IP-адреса там, установите параметр PARANOID или включите идентификатор (запрашивая информацию об имени пользователя). И это только замедлит первоначальное соединение, но не повлияет ни на что после того, как соединение будет установлено и переданы данные.

Вы могли бы попробовать time tcpdmatch sshd 1.2.3.4 и time tcpdmatch sshd foo.example.com с последним элементом, установленным на имя хоста или IP-адрес системы, из которой вы инициируете соединение. Это должно воспроизвести большинство проблем синхронизации sshd, обрабатывающих файл /etc/hosts.deny, и показать вам, сколько времени это занимает.