Meu arquivo / var / log / btmp é enorme! O que devo fazer?

71

Meu /var/log/btmparquivo tem 1,3 GB. Eu li que o arquivo é "Usado para armazenar informações sobre falha no login".

O que isso significa para o meu servidor? E posso excluir este arquivo?

Juddling
fonte
11
1.3GB? O meu era 14GB ... haha
slehmann36 14/02

Respostas:

90

Isso significa que as pessoas estão tentando forçar suas senhas com força bruta (comum em qualquer servidor público).

Não deve causar nenhum dano para limpar este arquivo.

Uma maneira de reduzir isso é alterar a porta do SSH de 22 para algo arbitrário. Para alguma segurança adicional, o DenyHosts pode bloquear tentativas de login após um certo número de falhas. Eu recomendo instalá-lo e configurá-lo.

ceejayoz
fonte
22

O fail2ban também pode ser uma grande ajuda para máquinas que devem manter a Internet, porta 22 SSH. Ele pode ser configurado para usar hosts.allow ou iptables com limites flexíveis.

natebc
fonte
Estou usando isso, mas isso não impede que o btmp seja preenchido, portanto, essa não é uma resposta completamente útil por si só. Gostaria de saber se há uma maneira de fazer esses logs girarem ou serem limitados em tamanho, que estou tentando procurar.
precisa saber é o seguinte
10

Você também pode examinar o arquivo com o comando lastb e determinar o número de IP e talvez bloquear o número de IP ou a rede de acessar mais sua máquina. Isso também fornecerá informações sobre a conta que está sendo invadida. Muito provavelmente será raiz, mas você nunca sabe

mdpc
fonte
11
lastb -a | moreé uma boa maneira de obter informações completas sobre o host remoto e entender o que está acontecendo.
Nealmcb 29/01
4

O que faço, embora eu o escreva, é usar o comando da seguinte maneira:

lastb -a | awk '{print $10}' | grep -v ^192 | sort | uniq | sed '/^$/d'

** o "^ 192" é o meu primeiro octeto da rede local (não roteável). Eu automatizo isso (também com script) da seguinte forma:

for i in `lastb -a | awk '{print $10}' | grep -v ^192 | sort | uniq | sed '/^$/d'`; do iptables -A INPUT -s $i -j DROP ; done
iptables-save

Ou

for i in `lastb -a | awk '{print $10}' | grep -v ^192 | sort | uniq | sed '/^$/d'`
do
iptables -A INPUT -s $i -j DROP
done
iptables-save

Apenas olhar diferente para visibilidade ... Isso funciona bem para mim

Quanto ao tamanho do arquivo / var / log / btmp, você precisa habilitar o logrotate para isso - veja o arquivo conf do logrotate para um arquivo semelhante sendo rotacionado para saber como fazer isso - geralmente em /etc/logrotate.d/ - veja no syslog ou yum para o formato, e o man logrotate mostrará todas as opções. C4

SeaPhor
fonte
2
echo ‘’ > /var/log/btmp

Isso vai recuperar o espaço. Deixe um pouco para preencher um pouco e, em seguida, implemente o iptables, altere a porta ssh ou instale e configure o fail2ban

Timothy Frew
fonte