¡Mi / var / log / btmp es enorme! ¿Qué tengo que hacer?
71
Mi /var/log/btmparchivo tiene un tamaño de 1.3 GB. He leído que el archivo es "Utilizado para almacenar información sobre el inicio de sesión fallido".
¿Qué significa esto para mi servidor? ¿Y puedo eliminar este archivo?
Esto significa que las personas están tratando de forzar sus contraseñas por fuerza bruta (común en cualquier servidor público).
No debería causar ningún daño borrar este archivo.
Una forma de reducir esto es cambiar el puerto para SSH de 22 a algo arbitrario. Para mayor seguridad, DenyHosts puede bloquear los intentos de inicio de sesión después de un cierto número de fallas. Recomiendo encarecidamente instalarlo y configurarlo.
fail2ban también puede ser una gran ayuda para las máquinas que deben mantener internet, puerto 22 SSH Se puede configurar para usar hosts.allow o iptables con umbrales flexibles.
Estoy usando eso, pero no evita que btmp se llene, por lo que esta no es una respuesta completamente útil por sí misma. Me gustaría saber si hay una manera de hacer que estos registros giren o tengan un tamaño limitado, que estoy tratando de buscar.
leetNightshade
10
También puede examinar el archivo con el comando lastb y determinar el número de IP y tal vez bloquear el número de IP o la red para que no acceda más a su máquina. Esto también proporcionará información sobre la cuenta que está siendo hackeada. Lo más probable es que sea root pero nunca se sabe
lastb -a | morees una buena manera de obtener la información completa del host remoto y tener una idea de lo que está sucediendo.
nealmcb
4
Lo que hago, aunque lo escribo, es usar el comando así:
lastb -a | awk '{print $10}' | grep -v ^192 | sort | uniq | sed '/^$/d'
** el "^ 192" es el primer octeto de mi red local (no enrutable). Automatizo esto (también con guión) así:
for i in `lastb -a | awk '{print $10}' | grep -v ^192 | sort | uniq | sed '/^$/d'`; do iptables -A INPUT -s $i -j DROP ; done
iptables-save
O
for i in `lastb -a | awk '{print $10}' | grep -v ^192 | sort | uniq | sed '/^$/d'`
do
iptables -A INPUT -s $i -j DROP
done
iptables-save
Solo un aspecto diferente para la visibilidad ... Esto funciona bien para mí
En cuanto al tamaño del archivo / var / log / btmp, debe habilitar logrotate para eso; mire su archivo conf de logrotate para un archivo similar que se rota para saber cómo hacerlo, generalmente en /etc/logrotate.d/ - look en el syslog o yum para el formato, y man logrotate le mostrará todas las opciones. C4
Respuestas:
Esto significa que las personas están tratando de forzar sus contraseñas por fuerza bruta (común en cualquier servidor público).
No debería causar ningún daño borrar este archivo.
Una forma de reducir esto es cambiar el puerto para SSH de 22 a algo arbitrario. Para mayor seguridad, DenyHosts puede bloquear los intentos de inicio de sesión después de un cierto número de fallas. Recomiendo encarecidamente instalarlo y configurarlo.
fuente
fail2ban también puede ser una gran ayuda para las máquinas que deben mantener internet, puerto 22 SSH Se puede configurar para usar hosts.allow o iptables con umbrales flexibles.
fuente
También puede examinar el archivo con el comando lastb y determinar el número de IP y tal vez bloquear el número de IP o la red para que no acceda más a su máquina. Esto también proporcionará información sobre la cuenta que está siendo hackeada. Lo más probable es que sea root pero nunca se sabe
fuente
lastb -a | more
es una buena manera de obtener la información completa del host remoto y tener una idea de lo que está sucediendo.Lo que hago, aunque lo escribo, es usar el comando así:
** el "^ 192" es el primer octeto de mi red local (no enrutable). Automatizo esto (también con guión) así:
O
Solo un aspecto diferente para la visibilidad ... Esto funciona bien para mí
En cuanto al tamaño del archivo / var / log / btmp, debe habilitar logrotate para eso; mire su archivo conf de logrotate para un archivo similar que se rota para saber cómo hacerlo, generalmente en /etc/logrotate.d/ - look en el syslog o yum para el formato, y man logrotate le mostrará todas las opciones. C4
fuente
Eso recuperará el espacio. Deje un poco para poblar un poco, luego implemente iptables, cambie el puerto ssh o instale y configure fail2ban
fuente