Un très gros fichier /etc/hosts.deny peut-il ralentir les connexions SSH?

J'utilise denyhosts depuis un certain temps et j'ai remarqué que mon volume /etc/hosts.denyest plutôt important. Denyhosts ajoute des adresses IP /etc/hosts.denyet mes denyhosts sont configurés pour ne jamais purger les adresses IP.

$ wc -l /etc/hosts.deny
22149 /etc/hosts.deny

Cela pourrait-il devenir un problème? Je ne comprends pas vraiment comment fonctionne libwrap. Espérons qu'il hache ces entrées ou quelque chose pour un accès rapide, mais je n'ai pas regardé ce code.

J'ai des problèmes de réseau étranges où mes connexions SSH à un serveur Gitosis sont suspendues (en fait, les mises à jour des bundles Symfony2 utilisent bin/vendors install). Je ne sais pas vraiment comment le déboguer, donc je recherche des choses qui pourraient mal tourner avec la boîte, comme des pénuries de ressources.

C'est sur un serveur Ubuntu 10.04.4 LTS.

ssh unix git

— Adam Monsen
source

Libwrap ne hache pas du tout. Il analyse le fichier à chaque appel, malheureusement pour vous.

— David Schwartz

denyhosts a des options pour purger les entrées au fil du temps. Je trouve généralement qu'après un mois ou deux, un hôte donné n'essaie généralement pas de revenir.

— Zoredache

Oui.

Mais cela ne devrait pas être un ralentissement, sauf si vous avez des noms au lieu d' adresses IP , que l'option PARANOID est définie ou que l'identifiant est activé (en demandant des informations sur le nom d'utilisateur). Et cela ne fera que ralentir la connexion initiale, n'affectera rien une fois que la connexion est établie et transmet les données.

Vous pouvez essayer time tcpdmatch sshd 1.2.3.4et time tcpdmatch sshd foo.example.comavec le dernier élément défini sur le nom d'hôte ou l'IP du système à partir duquel vous établissez des connexions. Cela devrait reproduire la plupart des problèmes de synchronisation du traitement par sshd du fichier /etc/hosts.deny et vous montrer combien de temps cela prend.

— freiheit
source