Відповіді:
Це означає, що люди намагаються жорстоко змусити ваші паролі (поширені на будь-якому сервері, що звертається до загальнодоступних).
Очищення цього файлу не повинно завдати шкоди.
Один із способів зменшити це - змінити порт для SSH з 22 на щось довільне. Для деякої додаткової безпеки DenyHosts може блокувати спроби входу після певної кількості відмов. Настійно рекомендую встановити та налаштувати його.
fail2ban також може бути чудовою підмогою для машин, які повинні підтримувати Інтернет, порт 22 SSH. Він може бути налаштований на використання hosts.allow або iptables з гнучкими порогами.
Ви також можете вивчити файл із командою lastb та визначити номер IP та, можливо, заблокувати IP-номер чи мережу від подальшого доступу до вашої машини. Це також надасть інформацію про злом облікового запису. Швидше за все, це буде root, але ви ніколи не знаєте
lastb -a | more
це хороший спосіб отримати повну інформацію про віддаленого хоста та зрозуміти, що відбувається.
Що я роблю, хоч і сценаріюю, це використовувати команду так:
lastb -a | awk '{print $10}' | grep -v ^192 | sort | uniq | sed '/^$/d'
** "^ 192" - це перший октет моєї локальної мережі (без маршрутизації), я автоматизую це (також сценарій) так:
for i in `lastb -a | awk '{print $10}' | grep -v ^192 | sort | uniq | sed '/^$/d'`; do iptables -A INPUT -s $i -j DROP ; done
iptables-save
Або
for i in `lastb -a | awk '{print $10}' | grep -v ^192 | sort | uniq | sed '/^$/d'`
do
iptables -A INPUT -s $i -j DROP
done
iptables-save
Просто інший погляд на видимість ... Це добре працює для мене
Що стосується розміру файлу / var / log / btmp, вам потрібно увімкнути logrotate для цього - подивіться, що ви logrotate конф-файл для аналогічного файлу, який обертається для того, як це зробити - зазвичай в /etc/logrotate.d/ - дивіться в syslog або yum для формату, і man logrotate покаже вам всі варіанти. С4
echo ‘’ > /var/log/btmp
Це поверне простір. Залиште трохи заповнити, потім реалізуйте iptables, змініть ssh-порт або встановіть і налаштуйте fail2ban