Mon fichier / var / log / btmp est énorme! Que devrais-je faire?

Question

Ma /var/log/btmp Le fichier fait 1,3 Go. J'ai lu que le fichier est "utilisé pour stocker des informations sur l'échec de la connexion".

Qu'est-ce que cela signifie pour mon serveur? Et puis-je supprimer ce fichier?

ceejayoz · Accepted Answer

Cela signifie que les gens essaient de forcer brutalement vos mots de passe (commun sur tout serveur public).

Cela ne devrait pas causer de mal à effacer ce fichier.

Une façon de réduire cela est de changer le port pour SSH de 22 en quelque chose d'arbitraire. Pour une sécurité supplémentaire, DenyHosts peut bloquer les tentatives de connexion après un certain nombre d'échecs. Je recommande fortement de l'installer et de le configurer.

natebc · Answer

fail2ban peut également être d'une grande aide pour les machines qui doivent rester face à Internet, port 22 SSH. Il peut être configuré pour utiliser hosts.allow ou iptables avec des seuils flexibles.

mdpc · Answer

Vous pouvez également examiner le fichier avec la commande lastb et déterminer le numéro IP et peut-être empêcher le numéro IP ou le réseau d'accéder à votre machine. Cela fournira également des informations sur le compte piraté. Ce sera probablement root mais on ne sait jamais

SeaPhor · Answer

Ce que je fais, bien que je l'écrive, c'est d'utiliser la commande comme ceci:

lastb -a | awk '{print $10}' | grep -v ^192 | sort | uniq | sed '/^$/d'

** le "^ 192" est le premier octet de mon réseau local (non routable) j'automatise ceci (également scripté) comme ceci:

for i in `lastb -a | awk '{print $10}' | grep -v ^192 | sort | uniq | sed '/^$/d'`; do iptables -A INPUT -s $i -j DROP ; done iptables-save

Ou

for i in `lastb -a | awk '{print $10}' | grep -v ^192 | sort | uniq | sed '/^$/d'` do iptables -A INPUT -s $i -j DROP done iptables-save

Juste un look différent pour la visibilité ... Cela fonctionne bien pour moi

En ce qui concerne la taille du fichier/var/log/btmp, vous devez activer logrotate pour cela - regardez votre fichier conf logrotate pour un fichier similaire en rotation pour savoir comment le faire - généralement dans /etc/logrotate.d/ - regardez au syslog ou miam pour le format, et man logrotate vous montrera toutes les options. C4

Timothy Frew · Answer

echo ‘’ > /var/log/btmp

Cela retrouvera de l'espace. Laisser un peu pour remplir un peu puis implémenter iptables, changer le port ssh ou installer et configurer fail2ban