Cela signifie que les gens essaient de forcer brutalement vos mots de passe (communs sur tout serveur public).
Effacer ce fichier ne devrait causer aucun préjudice.
Une façon de réduire cela consiste à changer le port pour SSH de 22 en quelque chose d'arbitraire. Pour plus de sécurité, DenyHosts peut bloquer les tentatives de connexion après un certain nombre d'échecs. Je recommande fortement de l'installer et de le configurer.
fail2ban peut également être d'une grande aide pour les machines qui doivent garder le Web face au port 22 SSH. Il peut être configuré pour utiliser hosts.allow ou iptables avec des seuils flexibles.
J'utilise cela, mais cela n'empêche pas btmp de se remplir, ce n'est donc pas une réponse tout à fait utile en soi. J'aimerais savoir s'il existe un moyen de faire pivoter ces journaux ou de limiter leur taille, ce que j'essaie de rechercher.
leetNightshade
10
Vous pouvez également examiner le fichier à l'aide de la commande lastb, déterminer le numéro IP et éventuellement empêcher le numéro IP ou le réseau d'accéder à votre ordinateur. Cela fournira également des informations sur le compte piraté. Ce sera probablement la racine mais on ne sait jamais
lastb -a | moreest un bon moyen d’obtenir des informations complètes sur l’hôte distant et d’avoir une idée de ce qui se passe.
nealmcb
4
Ce que je fais, bien que je le script, est d'utiliser la commande comme suit:
lastb -a | awk '{print $10}' | grep -v ^192 | sort | uniq | sed '/^$/d'
** le "^ 192" est le premier octet de mon réseau local (non routable). J'automatise ceci (ainsi que le script) comme suit:
for i in `lastb -a | awk '{print $10}' | grep -v ^192 | sort | uniq | sed '/^$/d'`; do iptables -A INPUT -s $i -j DROP ; done
iptables-save
Ou
for i in `lastb -a | awk '{print $10}' | grep -v ^192 | sort | uniq | sed '/^$/d'`
do
iptables -A INPUT -s $i -j DROP
done
iptables-save
Juste look différent pour la visibilité ... Cela fonctionne bien pour moi
En ce qui concerne la taille du fichier / var / log / btmp, vous devez activer logrotate pour cela. Regardez votre fichier de configuration logrotate pour un fichier similaire faisant l'objet d'une rotation, généralement dans /etc/logrotate.d/ - look au syslog ou yum pour le format, et man logrotate vous montrera toutes les options. C4
Réponses:
Cela signifie que les gens essaient de forcer brutalement vos mots de passe (communs sur tout serveur public).
Effacer ce fichier ne devrait causer aucun préjudice.
Une façon de réduire cela consiste à changer le port pour SSH de 22 en quelque chose d'arbitraire. Pour plus de sécurité, DenyHosts peut bloquer les tentatives de connexion après un certain nombre d'échecs. Je recommande fortement de l'installer et de le configurer.
la source
fail2ban peut également être d'une grande aide pour les machines qui doivent garder le Web face au port 22 SSH. Il peut être configuré pour utiliser hosts.allow ou iptables avec des seuils flexibles.
la source
Vous pouvez également examiner le fichier à l'aide de la commande lastb, déterminer le numéro IP et éventuellement empêcher le numéro IP ou le réseau d'accéder à votre ordinateur. Cela fournira également des informations sur le compte piraté. Ce sera probablement la racine mais on ne sait jamais
la source
lastb -a | more
est un bon moyen d’obtenir des informations complètes sur l’hôte distant et d’avoir une idée de ce qui se passe.Ce que je fais, bien que je le script, est d'utiliser la commande comme suit:
** le "^ 192" est le premier octet de mon réseau local (non routable). J'automatise ceci (ainsi que le script) comme suit:
Ou
Juste look différent pour la visibilité ... Cela fonctionne bien pour moi
En ce qui concerne la taille du fichier / var / log / btmp, vous devez activer logrotate pour cela. Regardez votre fichier de configuration logrotate pour un fichier similaire faisant l'objet d'une rotation, généralement dans /etc/logrotate.d/ - look au syslog ou yum pour le format, et man logrotate vous montrera toutes les options. C4
la source
Cela va regagner l'espace. Laissez un peu pour peupler un peu, puis implémentez iptables, modifiez le port ssh ou installez et configurez fail2ban
la source