Odpowiedzi:
Oznacza to, że ludzie próbują brutalnie wymusić twoje hasła (wspólne na każdym publicznym serwerze).
Usunięcie tego pliku nie powinno spowodować żadnej szkody.
Jednym ze sposobów na zmniejszenie tego jest zmiana portu SSH z 22 na coś arbitralnego. W celu zapewnienia dodatkowego bezpieczeństwa DenyHosts może blokować próby logowania po określonej liczbie awarii. Gorąco polecam instalację i konfigurację.
fail2ban może być również świetną pomocą dla maszyn, które muszą mieć stały dostęp do Internetu, port 22 SSH. Można go skonfigurować do używania hosts.allow lub iptables z elastycznymi progami.
Możesz również sprawdzić plik za pomocą polecenia lastb i ustalić numer IP, a może zablokować dalszy dostęp komputera do sieci. Zapewni to również informacje o zhakowaniu konta. Najprawdopodobniej będzie to root, ale nigdy nie wiadomo
lastb -a | more
to dobry sposób na uzyskanie pełnych informacji o zdalnym hoście i sprawdzenie, co się dzieje.
To, co robię, mimo że to piszę, to użycie polecenia w następujący sposób:
lastb -a | awk '{print $10}' | grep -v ^192 | sort | uniq | sed '/^$/d'
** „^ 192” to pierwszy oktet mojej sieci lokalnej (nierutowalny) Automatyzuję to (również skryptowane) w następujący sposób:
for i in `lastb -a | awk '{print $10}' | grep -v ^192 | sort | uniq | sed '/^$/d'`; do iptables -A INPUT -s $i -j DROP ; done
iptables-save
Lub
for i in `lastb -a | awk '{print $10}' | grep -v ^192 | sort | uniq | sed '/^$/d'`
do
iptables -A INPUT -s $i -j DROP
done
iptables-save
Po prostu inny wygląd widoczności ... To działa dobrze dla mnie
Jeśli chodzi o rozmiar pliku / var / log / btmp, musisz w tym celu włączyć logrotate - spójrz na siebie plik logrotate conf dla podobnego pliku obracanego, aby to zrobić - zwykle w /etc/logrotate.d/ - spójrz na syslog lub yum dla formatu, a man logrotate pokaże wszystkie opcje. C4
echo ‘’ > /var/log/btmp
To odzyska przestrzeń. Pozostaw trochę, aby trochę się zapełnić, a następnie zaimplementuj iptables, zmień port ssh lub zainstaluj i skonfiguruj fail2ban