Isso significa que as pessoas estão tentando forçar suas senhas com força bruta (comum em qualquer servidor público).
Não deve causar nenhum dano para limpar este arquivo.
Uma maneira de reduzir isso é alterar a porta do SSH de 22 para algo arbitrário. Para alguma segurança adicional, o DenyHosts pode bloquear tentativas de login após um certo número de falhas. Eu recomendo instalá-lo e configurá-lo.
O fail2ban também pode ser uma grande ajuda para máquinas que devem manter a Internet, porta 22 SSH. Ele pode ser configurado para usar hosts.allow ou iptables com limites flexíveis.
Estou usando isso, mas isso não impede que o btmp seja preenchido, portanto, essa não é uma resposta completamente útil por si só. Gostaria de saber se há uma maneira de fazer esses logs girarem ou serem limitados em tamanho, que estou tentando procurar.
precisa saber é o seguinte
10
Você também pode examinar o arquivo com o comando lastb e determinar o número de IP e talvez bloquear o número de IP ou a rede de acessar mais sua máquina. Isso também fornecerá informações sobre a conta que está sendo invadida. Muito provavelmente será raiz, mas você nunca sabe
lastb -a | moreé uma boa maneira de obter informações completas sobre o host remoto e entender o que está acontecendo.
Nealmcb 29/01
4
O que faço, embora eu o escreva, é usar o comando da seguinte maneira:
lastb -a | awk '{print $10}' | grep -v ^192 | sort | uniq | sed '/^$/d'
** o "^ 192" é o meu primeiro octeto da rede local (não roteável). Eu automatizo isso (também com script) da seguinte forma:
for i in `lastb -a | awk '{print $10}' | grep -v ^192 | sort | uniq | sed '/^$/d'`; do iptables -A INPUT -s $i -j DROP ; done
iptables-save
Ou
for i in `lastb -a | awk '{print $10}' | grep -v ^192 | sort | uniq | sed '/^$/d'`
do
iptables -A INPUT -s $i -j DROP
done
iptables-save
Apenas olhar diferente para visibilidade ... Isso funciona bem para mim
Quanto ao tamanho do arquivo / var / log / btmp, você precisa habilitar o logrotate para isso - veja o arquivo conf do logrotate para um arquivo semelhante sendo rotacionado para saber como fazer isso - geralmente em /etc/logrotate.d/ - veja no syslog ou yum para o formato, e o man logrotate mostrará todas as opções. C4
Isso vai recuperar o espaço. Deixe um pouco para preencher um pouco e, em seguida, implemente o iptables, altere a porta ssh ou instale e configure o fail2ban
Respostas:
Isso significa que as pessoas estão tentando forçar suas senhas com força bruta (comum em qualquer servidor público).
Não deve causar nenhum dano para limpar este arquivo.
Uma maneira de reduzir isso é alterar a porta do SSH de 22 para algo arbitrário. Para alguma segurança adicional, o DenyHosts pode bloquear tentativas de login após um certo número de falhas. Eu recomendo instalá-lo e configurá-lo.
fonte
O fail2ban também pode ser uma grande ajuda para máquinas que devem manter a Internet, porta 22 SSH. Ele pode ser configurado para usar hosts.allow ou iptables com limites flexíveis.
fonte
Você também pode examinar o arquivo com o comando lastb e determinar o número de IP e talvez bloquear o número de IP ou a rede de acessar mais sua máquina. Isso também fornecerá informações sobre a conta que está sendo invadida. Muito provavelmente será raiz, mas você nunca sabe
fonte
lastb -a | moreé uma boa maneira de obter informações completas sobre o host remoto e entender o que está acontecendo.O que faço, embora eu o escreva, é usar o comando da seguinte maneira:
** o "^ 192" é o meu primeiro octeto da rede local (não roteável). Eu automatizo isso (também com script) da seguinte forma:
Ou
Apenas olhar diferente para visibilidade ... Isso funciona bem para mim
Quanto ao tamanho do arquivo / var / log / btmp, você precisa habilitar o logrotate para isso - veja o arquivo conf do logrotate para um arquivo semelhante sendo rotacionado para saber como fazer isso - geralmente em /etc/logrotate.d/ - veja no syslog ou yum para o formato, e o man logrotate mostrará todas as opções. C4
fonte
Isso vai recuperar o espaço. Deixe um pouco para preencher um pouco e, em seguida, implemente o iptables, altere a porta ssh ou instale e configure o fail2ban
fonte