¡Mi / var / log / btmp es enorme! ¿Qué tengo que hacer?

71

Mi /var/log/btmparchivo tiene un tamaño de 1.3 GB. He leído que el archivo es "Utilizado para almacenar información sobre el inicio de sesión fallido".

¿Qué significa esto para mi servidor? ¿Y puedo eliminar este archivo?

centos  log-files 
Juzgando
fuente
1
1.3GB? El mío era de 14 GB ... jaja
slehmann36

Respuestas:

90

Esto significa que las personas están tratando de forzar sus contraseñas por fuerza bruta (común en cualquier servidor público).

No debería causar ningún daño borrar este archivo.

Una forma de reducir esto es cambiar el puerto para SSH de 22 a algo arbitrario. Para mayor seguridad, DenyHosts puede bloquear los intentos de inicio de sesión después de un cierto número de fallas. Recomiendo encarecidamente instalarlo y configurarlo.

ceejayoz
fuente
22

fail2ban también puede ser una gran ayuda para las máquinas que deben mantener internet, puerto 22 SSH Se puede configurar para usar hosts.allow o iptables con umbrales flexibles.

natebc
fuente
Estoy usando eso, pero no evita que btmp se llene, por lo que esta no es una respuesta completamente útil por sí misma. Me gustaría saber si hay una manera de hacer que estos registros giren o tengan un tamaño limitado, que estoy tratando de buscar.
leetNightshade
10

También puede examinar el archivo con el comando lastb y determinar el número de IP y tal vez bloquear el número de IP o la red para que no acceda más a su máquina. Esto también proporcionará información sobre la cuenta que está siendo hackeada. Lo más probable es que sea root pero nunca se sabe

mdpc
fuente
1
lastb -a | morees una buena manera de obtener la información completa del host remoto y tener una idea de lo que está sucediendo.
nealmcb
4

Lo que hago, aunque lo escribo, es usar el comando así:

lastb -a | awk '{print $10}' | grep -v ^192 | sort | uniq | sed '/^$/d'

** el "^ 192" es el primer octeto de mi red local (no enrutable). Automatizo esto (también con guión) así:

for i in `lastb -a | awk '{print $10}' | grep -v ^192 | sort | uniq | sed '/^$/d'`; do iptables -A INPUT -s $i -j DROP ; done
iptables-save

O

for i in `lastb -a | awk '{print $10}' | grep -v ^192 | sort | uniq | sed '/^$/d'`
do
iptables -A INPUT -s $i -j DROP
done
iptables-save

Solo un aspecto diferente para la visibilidad ... Esto funciona bien para mí

En cuanto al tamaño del archivo / var / log / btmp, debe habilitar logrotate para eso; mire su archivo conf de logrotate para un archivo similar que se rota para saber cómo hacerlo, generalmente en /etc/logrotate.d/ - look en el syslog o yum para el formato, y man logrotate le mostrará todas las opciones. C4

SeaPhor
fuente
2 
echo ‘’ > /var/log/btmp

Eso recuperará el espacio. Deje un poco para poblar un poco, luego implemente iptables, cambie el puerto ssh o instale y configure fail2ban

Timothy Frew
fuente
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.