Il mio file / var / log / btmp è enorme! Cosa dovrei fare?

71

Il mio /var/log/btmpfile ha una dimensione di 1,3 GB. Ho letto che il file è "Utilizzato per memorizzare informazioni sull'accesso non riuscito".

Cosa significa questo per il mio server? E posso cancellare questo file?

centos  log-files 
Juddling
fonte
1
1.3GB? Il mio era 14 GB ... haha
slehmann36

Risposte:

90

Ciò significa che le persone stanno cercando di forzare le password (comuni su qualsiasi server pubblico).

Non dovrebbe causare alcun danno per cancellare questo file.

Un modo per ridurlo è cambiare la porta per SSH da 22 a qualcosa di arbitrario. Per ulteriore sicurezza, DenyHosts può bloccare i tentativi di accesso dopo un certo numero di errori. Consiglio vivamente di installarlo e configurarlo.

ceejayoz
fonte
22

fail2ban può anche essere di grande aiuto per le macchine che devono affrontare Internet, porta 22 SSH. Può essere configurato per utilizzare hosts.allow o iptables con soglie flessibili.

natebc
fonte
Lo sto usando, ma non impedisce che btmp si riempia, quindi questa non è una risposta completamente utile da sola. Vorrei sapere se esiste un modo per far ruotare questi registri o avere dimensioni limitate, che sto cercando di cercare.
leetNightshade
10

È inoltre possibile esaminare il file con il comando lastb e determinare il numero IP e forse bloccare il numero IP o la rete dall'ulteriore accesso al proprio computer. Ciò fornirà anche informazioni sull'account che viene violato. Molto probabilmente sarà root ma non lo saprai mai

MDPC
fonte
1
lastb -a | moreè un buon modo per ottenere le informazioni complete sull'host remoto e avere un'idea di cosa sta succedendo.
nealmcb,
4

Quello che faccio, sebbene lo scrivo, è usare il comando in questo modo:

lastb -a | awk '{print $10}' | grep -v ^192 | sort | uniq | sed '/^$/d'

** il "^ 192" è il primo ottetto della mia rete locale (non instradabile). Lo automatizzo (anche tramite script) in questo modo:

for i in `lastb -a | awk '{print $10}' | grep -v ^192 | sort | uniq | sed '/^$/d'`; do iptables -A INPUT -s $i -j DROP ; done
iptables-save

O

for i in `lastb -a | awk '{print $10}' | grep -v ^192 | sort | uniq | sed '/^$/d'`
do
iptables -A INPUT -s $i -j DROP
done
iptables-save

Solo un aspetto diverso per la visibilità ... Questo funziona bene per me

Per quanto riguarda le dimensioni del file / var / log / btmp, devi abilitare logrotate per quello- guarda il file conf logrotate per un file simile che viene ruotato per come farlo - di solito in /etc/logrotate.d/ - look su syslog o yum per il formato e man logrotate ti mostrerà tutte le opzioni. C4

SeaPhor
fonte
2 
echo ‘’ > /var/log/btmp

Ciò riguadagnerà lo spazio. Lascia un po 'per popolare un po', quindi implementa iptables, cambia la porta ssh o installa e configura fail2ban

Timothy Frew
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.