Mon fichier / var / log / btmp est énorme! Que devrais-je faire?

71

Mon /var/log/btmpfichier mesure 1,3 Go. J'ai lu que le fichier est "Utilisé pour stocker des informations sur l'échec de la connexion".

Qu'est-ce que cela signifie pour mon serveur? Et puis-je supprimer ce fichier?

Juddling
la source
1
1,3 Go? Le mien était de 14 Go ... haha
slehmann36

Réponses:

90

Cela signifie que les gens essaient de forcer brutalement vos mots de passe (communs sur tout serveur public).

Effacer ce fichier ne devrait causer aucun préjudice.

Une façon de réduire cela consiste à changer le port pour SSH de 22 en quelque chose d'arbitraire. Pour plus de sécurité, DenyHosts peut bloquer les tentatives de connexion après un certain nombre d'échecs. Je recommande fortement de l'installer et de le configurer.

ceejayoz
la source
22

fail2ban peut également être d'une grande aide pour les machines qui doivent garder le Web face au port 22 SSH. Il peut être configuré pour utiliser hosts.allow ou iptables avec des seuils flexibles.

natebc
la source
J'utilise cela, mais cela n'empêche pas btmp de se remplir, ce n'est donc pas une réponse tout à fait utile en soi. J'aimerais savoir s'il existe un moyen de faire pivoter ces journaux ou de limiter leur taille, ce que j'essaie de rechercher.
leetNightshade
10

Vous pouvez également examiner le fichier à l'aide de la commande lastb, déterminer le numéro IP et éventuellement empêcher le numéro IP ou le réseau d'accéder à votre ordinateur. Cela fournira également des informations sur le compte piraté. Ce sera probablement la racine mais on ne sait jamais

mdpc
la source
1
lastb -a | moreest un bon moyen d’obtenir des informations complètes sur l’hôte distant et d’avoir une idée de ce qui se passe.
nealmcb
4

Ce que je fais, bien que je le script, est d'utiliser la commande comme suit:

lastb -a | awk '{print $10}' | grep -v ^192 | sort | uniq | sed '/^$/d'

** le "^ 192" est le premier octet de mon réseau local (non routable). J'automatise ceci (ainsi que le script) comme suit:

for i in `lastb -a | awk '{print $10}' | grep -v ^192 | sort | uniq | sed '/^$/d'`; do iptables -A INPUT -s $i -j DROP ; done
iptables-save

Ou

for i in `lastb -a | awk '{print $10}' | grep -v ^192 | sort | uniq | sed '/^$/d'`
do
iptables -A INPUT -s $i -j DROP
done
iptables-save

Juste look différent pour la visibilité ... Cela fonctionne bien pour moi

En ce qui concerne la taille du fichier / var / log / btmp, vous devez activer logrotate pour cela. Regardez votre fichier de configuration logrotate pour un fichier similaire faisant l'objet d'une rotation, généralement dans /etc/logrotate.d/ - look au syslog ou yum pour le format, et man logrotate vous montrera toutes les options. C4

SeaPhor
la source
2
echo ‘’ > /var/log/btmp

Cela va regagner l'espace. Laissez un peu pour peupler un peu, puis implémentez iptables, modifiez le port ssh ou installez et configurez fail2ban

Timothy Frew
la source