Mój plik / var / log / btmp jest ogromny! Co powinienem zrobić?

71

Mój /var/log/btmpplik ma rozmiar 1,3 GB. Przeczytałem, że plik jest „Używany do przechowywania informacji o nieudanym logowaniu”.

Co to oznacza dla mojego serwera? Czy mogę usunąć ten plik?

Juddling
źródło
1
1,3 GB? Mój miał
GB

Odpowiedzi:

90

Oznacza to, że ludzie próbują brutalnie wymusić twoje hasła (wspólne na każdym publicznym serwerze).

Usunięcie tego pliku nie powinno spowodować żadnej szkody.

Jednym ze sposobów na zmniejszenie tego jest zmiana portu SSH z 22 na coś arbitralnego. W celu zapewnienia dodatkowego bezpieczeństwa DenyHosts może blokować próby logowania po określonej liczbie awarii. Gorąco polecam instalację i konfigurację.

ceejayoz
źródło
22

fail2ban może być również świetną pomocą dla maszyn, które muszą mieć stały dostęp do Internetu, port 22 SSH. Można go skonfigurować do używania hosts.allow lub iptables z elastycznymi progami.

natebc
źródło
Używam tego, ale nie przeszkadza to w wypełnieniu btmp, więc sama w sobie nie jest to całkowicie pomocna odpowiedź. Chciałbym wiedzieć, czy istnieje sposób na obrócenie tych dzienników lub ograniczenie ich rozmiaru, które próbuję sprawdzić.
leetNightshade
10

Możesz również sprawdzić plik za pomocą polecenia lastb i ustalić numer IP, a może zablokować dalszy dostęp komputera do sieci. Zapewni to również informacje o zhakowaniu konta. Najprawdopodobniej będzie to root, ale nigdy nie wiadomo

mdpc
źródło
1
lastb -a | moreto dobry sposób na uzyskanie pełnych informacji o zdalnym hoście i sprawdzenie, co się dzieje.
nealmcb
4

To, co robię, mimo że to piszę, to użycie polecenia w następujący sposób:

lastb -a | awk '{print $10}' | grep -v ^192 | sort | uniq | sed '/^$/d'

** „^ 192” to pierwszy oktet mojej sieci lokalnej (nierutowalny) Automatyzuję to (również skryptowane) w następujący sposób:

for i in `lastb -a | awk '{print $10}' | grep -v ^192 | sort | uniq | sed '/^$/d'`; do iptables -A INPUT -s $i -j DROP ; done
iptables-save

Lub

for i in `lastb -a | awk '{print $10}' | grep -v ^192 | sort | uniq | sed '/^$/d'`
do
iptables -A INPUT -s $i -j DROP
done
iptables-save

Po prostu inny wygląd widoczności ... To działa dobrze dla mnie

Jeśli chodzi o rozmiar pliku / var / log / btmp, musisz w tym celu włączyć logrotate - spójrz na siebie plik logrotate conf dla podobnego pliku obracanego, aby to zrobić - zwykle w /etc/logrotate.d/ - spójrz na syslog lub yum dla formatu, a man logrotate pokaże wszystkie opcje. C4

SeaPhor
źródło
2
echo ‘’ > /var/log/btmp

To odzyska przestrzeń. Pozostaw trochę, aby trochę się zapełnić, a następnie zaimplementuj iptables, zmień port ssh lub zainstaluj i skonfiguruj fail2ban

Timothy Frew
źródło