Мій / var / log / btmp файл величезний! Що я повинен зробити?


71

Мій /var/log/btmpфайл розміром 1,3 Гб. Я читав, що файл "Використовується для зберігання інформації про невдалий вхід".

Що це означає для мого сервера? І чи можу я видалити цей файл?


1
1.3 Гб? Моя була
Гб

Відповіді:


90

Це означає, що люди намагаються жорстоко змусити ваші паролі (поширені на будь-якому сервері, що звертається до загальнодоступних).

Очищення цього файлу не повинно завдати шкоди.

Один із способів зменшити це - змінити порт для SSH з 22 на щось довільне. Для деякої додаткової безпеки DenyHosts може блокувати спроби входу після певної кількості відмов. Настійно рекомендую встановити та налаштувати його.


22

fail2ban також може бути чудовою підмогою для машин, які повинні підтримувати Інтернет, порт 22 SSH. Він може бути налаштований на використання hosts.allow або iptables з гнучкими порогами.


Я використовую це, але це не заважає btmp заповнюватися, тому це не є цілком корисною відповіддю. Мені хотілося б знати, чи є спосіб змусити ці журнали обертатись або бути обмеженими розмірами, на які я намагаюся шукати.
leetNightshade

10

Ви також можете вивчити файл із командою lastb та визначити номер IP та, можливо, заблокувати IP-номер чи мережу від подальшого доступу до вашої машини. Це також надасть інформацію про злом облікового запису. Швидше за все, це буде root, але ви ніколи не знаєте


1
lastb -a | moreце хороший спосіб отримати повну інформацію про віддаленого хоста та зрозуміти, що відбувається.
nealmcb

4

Що я роблю, хоч і сценаріюю, це використовувати команду так:

lastb -a | awk '{print $10}' | grep -v ^192 | sort | uniq | sed '/^$/d'

** "^ 192" - це перший октет моєї локальної мережі (без маршрутизації), я автоматизую це (також сценарій) так:

for i in `lastb -a | awk '{print $10}' | grep -v ^192 | sort | uniq | sed '/^$/d'`; do iptables -A INPUT -s $i -j DROP ; done
iptables-save

Або

for i in `lastb -a | awk '{print $10}' | grep -v ^192 | sort | uniq | sed '/^$/d'`
do
iptables -A INPUT -s $i -j DROP
done
iptables-save

Просто інший погляд на видимість ... Це добре працює для мене

Що стосується розміру файлу / var / log / btmp, вам потрібно увімкнути logrotate для цього - подивіться, що ви logrotate конф-файл для аналогічного файлу, який обертається для того, як це зробити - зазвичай в /etc/logrotate.d/ - дивіться в syslog або yum для формату, і man logrotate покаже вам всі варіанти. С4


2
echo ‘’ > /var/log/btmp

Це поверне простір. Залиште трохи заповнити, потім реалізуйте iptables, змініть ssh-порт або встановіть і налаштуйте fail2ban

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.