Meine / var / log / btmp-Datei ist riesig! Was soll ich machen?

71

Meine /var/log/btmpDatei ist 1,3 GB groß. Ich habe gelesen, dass die Datei "zum Speichern von Informationen über fehlgeschlagene Anmeldung" ist.

Was bedeutet das für meinen Server? Und kann ich diese Datei löschen?

Juddling
quelle
1
1,3 GB? Meins war 14GB ... haha
slehmann36

Antworten:

90

Dies bedeutet, dass die Leute versuchen, Ihre Passwörter brutal zu erzwingen (üblich auf allen öffentlich zugänglichen Servern).

Es sollte keinen Schaden anrichten, diese Datei zu löschen.

Eine Möglichkeit, dies zu reduzieren, besteht darin, den Port für SSH von 22 in einen beliebigen Port zu ändern. Aus Sicherheitsgründen kann DenyHosts Anmeldeversuche nach einer bestimmten Anzahl von Fehlern blockieren. Ich würde es wärmstens empfehlen, es zu installieren und zu konfigurieren.

ceejayoz
quelle
22

fail2ban kann auch eine große Hilfe für Computer sein, die das Internet nicht aus den Augen verlieren müssen, Port 22 SSH. Es kann so konfiguriert werden, dass hosts.allow oder iptables mit flexiblen Schwellenwerten verwendet werden.

natebc
quelle
Ich benutze das, aber es hindert btmp nicht daran, sich zu füllen, so dass dies keine vollständig hilfreiche Antwort für sich ist. Ich würde gerne wissen, ob es eine Möglichkeit gibt, diese Protokolle zu drehen oder in ihrer Größe zu beschränken. Ich versuche nachzuschlagen.
LeetNightshade
10

Sie können die Datei auch mit dem Befehl lastb untersuchen und die IP-Nummer ermitteln und möglicherweise den weiteren Zugriff der IP-Nummer oder des Netzwerks auf Ihren Computer blockieren. Dies gibt auch Auskunft über das gehackte Konto. Höchstwahrscheinlich wird es root sein, aber Sie wissen es nie

mdpc
quelle
1
lastb -a | moreDies ist ein guter Weg, um die vollständigen Informationen zum Remote-Host abzurufen und sich ein Bild davon zu machen, was gerade vor sich geht.
Nealmcb
4

Was ich tue, obwohl ich es skripte, ist, den Befehl so zu benutzen:

lastb -a | awk '{print $10}' | grep -v ^192 | sort | uniq | sed '/^$/d'

** Das "^ 192" ist das erste Oktett meines lokalen Netzwerks (nicht routingfähig). Ich automatisiere dies (auch skriptgesteuert) folgendermaßen:

for i in `lastb -a | awk '{print $10}' | grep -v ^192 | sort | uniq | sed '/^$/d'`; do iptables -A INPUT -s $i -j DROP ; done
iptables-save

Oder

for i in `lastb -a | awk '{print $10}' | grep -v ^192 | sort | uniq | sed '/^$/d'`
do
iptables -A INPUT -s $i -j DROP
done
iptables-save

Nur ein anderer Blick für die Sichtbarkeit ... Das funktioniert gut für mich

Was die Größe der / var / log / btmp-Datei betrifft, müssen Sie logrotate für diese aktivieren - schauen Sie sich Ihre logrotate conf-Datei an, damit eine ähnliche Datei gedreht wird - normalerweise in /etc/logrotate.d/ - schauen Sie im syslog oder yum für das format und man logrotate zeigt dir alle optionen. C4

SeaPhor
quelle
2
echo ‘’ > /var/log/btmp

Das wird den Raum zurückgewinnen. Lassen Sie etwas Zeit, um etwas zu füllen und implementieren Sie dann iptables, ändern Sie den ssh-Port oder installieren und konfigurieren Sie fail2ban

Timothy Frew
quelle