Oznacza to, że ludzie próbują brutalnie wymusić twoje hasła (wspólne na każdym publicznym serwerze).
Usunięcie tego pliku nie powinno spowodować żadnej szkody.
Jednym ze sposobów na zmniejszenie tego jest zmiana portu SSH z 22 na coś arbitralnego. W celu zapewnienia dodatkowego bezpieczeństwa DenyHosts może blokować próby logowania po określonej liczbie awarii. Gorąco polecam instalację i konfigurację.
fail2ban może być również świetną pomocą dla maszyn, które muszą mieć stały dostęp do Internetu, port 22 SSH. Można go skonfigurować do używania hosts.allow lub iptables z elastycznymi progami.
Używam tego, ale nie przeszkadza to w wypełnieniu btmp, więc sama w sobie nie jest to całkowicie pomocna odpowiedź. Chciałbym wiedzieć, czy istnieje sposób na obrócenie tych dzienników lub ograniczenie ich rozmiaru, które próbuję sprawdzić.
leetNightshade
10
Możesz również sprawdzić plik za pomocą polecenia lastb i ustalić numer IP, a może zablokować dalszy dostęp komputera do sieci. Zapewni to również informacje o zhakowaniu konta. Najprawdopodobniej będzie to root, ale nigdy nie wiadomo
lastb -a | moreto dobry sposób na uzyskanie pełnych informacji o zdalnym hoście i sprawdzenie, co się dzieje.
nealmcb
4
To, co robię, mimo że to piszę, to użycie polecenia w następujący sposób:
lastb -a | awk '{print $10}' | grep -v ^192 | sort | uniq | sed '/^$/d'
** „^ 192” to pierwszy oktet mojej sieci lokalnej (nierutowalny) Automatyzuję to (również skryptowane) w następujący sposób:
for i in `lastb -a | awk '{print $10}' | grep -v ^192 | sort | uniq | sed '/^$/d'`; do iptables -A INPUT -s $i -j DROP ; done
iptables-save
Lub
for i in `lastb -a | awk '{print $10}' | grep -v ^192 | sort | uniq | sed '/^$/d'`
do
iptables -A INPUT -s $i -j DROP
done
iptables-save
Po prostu inny wygląd widoczności ... To działa dobrze dla mnie
Jeśli chodzi o rozmiar pliku / var / log / btmp, musisz w tym celu włączyć logrotate - spójrz na siebie plik logrotate conf dla podobnego pliku obracanego, aby to zrobić - zwykle w /etc/logrotate.d/ - spójrz na syslog lub yum dla formatu, a man logrotate pokaże wszystkie opcje. C4
To odzyska przestrzeń. Pozostaw trochę, aby trochę się zapełnić, a następnie zaimplementuj iptables, zmień port ssh lub zainstaluj i skonfiguruj fail2ban
Odpowiedzi:
Oznacza to, że ludzie próbują brutalnie wymusić twoje hasła (wspólne na każdym publicznym serwerze).
Usunięcie tego pliku nie powinno spowodować żadnej szkody.
Jednym ze sposobów na zmniejszenie tego jest zmiana portu SSH z 22 na coś arbitralnego. W celu zapewnienia dodatkowego bezpieczeństwa DenyHosts może blokować próby logowania po określonej liczbie awarii. Gorąco polecam instalację i konfigurację.
źródło
fail2ban może być również świetną pomocą dla maszyn, które muszą mieć stały dostęp do Internetu, port 22 SSH. Można go skonfigurować do używania hosts.allow lub iptables z elastycznymi progami.
źródło
Możesz również sprawdzić plik za pomocą polecenia lastb i ustalić numer IP, a może zablokować dalszy dostęp komputera do sieci. Zapewni to również informacje o zhakowaniu konta. Najprawdopodobniej będzie to root, ale nigdy nie wiadomo
źródło
lastb -a | more
to dobry sposób na uzyskanie pełnych informacji o zdalnym hoście i sprawdzenie, co się dzieje.To, co robię, mimo że to piszę, to użycie polecenia w następujący sposób:
** „^ 192” to pierwszy oktet mojej sieci lokalnej (nierutowalny) Automatyzuję to (również skryptowane) w następujący sposób:
Lub
Po prostu inny wygląd widoczności ... To działa dobrze dla mnie
Jeśli chodzi o rozmiar pliku / var / log / btmp, musisz w tym celu włączyć logrotate - spójrz na siebie plik logrotate conf dla podobnego pliku obracanego, aby to zrobić - zwykle w /etc/logrotate.d/ - spójrz na syslog lub yum dla formatu, a man logrotate pokaże wszystkie opcje. C4
źródło
To odzyska przestrzeń. Pozostaw trochę, aby trochę się zapełnić, a następnie zaimplementuj iptables, zmień port ssh lub zainstaluj i skonfiguruj fail2ban
źródło