Mój plik / var / log / btmp jest ogromny! Co powinienem zrobić?


71

Mój /var/log/btmpplik ma rozmiar 1,3 GB. Przeczytałem, że plik jest „Używany do przechowywania informacji o nieudanym logowaniu”.

Co to oznacza dla mojego serwera? Czy mogę usunąć ten plik?


1
1,3 GB? Mój miał
GB

Odpowiedzi:


90

Oznacza to, że ludzie próbują brutalnie wymusić twoje hasła (wspólne na każdym publicznym serwerze).

Usunięcie tego pliku nie powinno spowodować żadnej szkody.

Jednym ze sposobów na zmniejszenie tego jest zmiana portu SSH z 22 na coś arbitralnego. W celu zapewnienia dodatkowego bezpieczeństwa DenyHosts może blokować próby logowania po określonej liczbie awarii. Gorąco polecam instalację i konfigurację.


22

fail2ban może być również świetną pomocą dla maszyn, które muszą mieć stały dostęp do Internetu, port 22 SSH. Można go skonfigurować do używania hosts.allow lub iptables z elastycznymi progami.


Używam tego, ale nie przeszkadza to w wypełnieniu btmp, więc sama w sobie nie jest to całkowicie pomocna odpowiedź. Chciałbym wiedzieć, czy istnieje sposób na obrócenie tych dzienników lub ograniczenie ich rozmiaru, które próbuję sprawdzić.
leetNightshade

10

Możesz również sprawdzić plik za pomocą polecenia lastb i ustalić numer IP, a może zablokować dalszy dostęp komputera do sieci. Zapewni to również informacje o zhakowaniu konta. Najprawdopodobniej będzie to root, ale nigdy nie wiadomo


1
lastb -a | moreto dobry sposób na uzyskanie pełnych informacji o zdalnym hoście i sprawdzenie, co się dzieje.
nealmcb

4

To, co robię, mimo że to piszę, to użycie polecenia w następujący sposób:

lastb -a | awk '{print $10}' | grep -v ^192 | sort | uniq | sed '/^$/d'

** „^ 192” to pierwszy oktet mojej sieci lokalnej (nierutowalny) Automatyzuję to (również skryptowane) w następujący sposób:

for i in `lastb -a | awk '{print $10}' | grep -v ^192 | sort | uniq | sed '/^$/d'`; do iptables -A INPUT -s $i -j DROP ; done
iptables-save

Lub

for i in `lastb -a | awk '{print $10}' | grep -v ^192 | sort | uniq | sed '/^$/d'`
do
iptables -A INPUT -s $i -j DROP
done
iptables-save

Po prostu inny wygląd widoczności ... To działa dobrze dla mnie

Jeśli chodzi o rozmiar pliku / var / log / btmp, musisz w tym celu włączyć logrotate - spójrz na siebie plik logrotate conf dla podobnego pliku obracanego, aby to zrobić - zwykle w /etc/logrotate.d/ - spójrz na syslog lub yum dla formatu, a man logrotate pokaże wszystkie opcje. C4


2
echo ‘’ > /var/log/btmp

To odzyska przestrzeń. Pozostaw trochę, aby trochę się zapełnić, a następnie zaimplementuj iptables, zmień port ssh lub zainstaluj i skonfiguruj fail2ban

Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.