ไฟล์ / var / log / btmp ของฉันนั้นใหญ่มาก! ฉันควรทำอย่างไร?


71

/var/log/btmpไฟล์ของฉันมีขนาด 1.3 GB ฉันอ่านแล้วว่าไฟล์นี้เป็น "ใช้เพื่อเก็บข้อมูลเกี่ยวกับการเข้าสู่ระบบที่ล้มเหลว"

สิ่งนี้หมายความว่าสำหรับเซิร์ฟเวอร์ของฉัน และฉันจะลบไฟล์นี้ได้หรือไม่


1
1.3GB? ฉันเป็น 14GB ... ฮ่าฮ่า
slehmann36

คำตอบ:


90

ซึ่งหมายความว่าผู้คนกำลังพยายามข่มขู่บังคับรหัสผ่านของคุณ (โดยทั่วไปบนเซิร์ฟเวอร์สาธารณะใด ๆ )

ไม่ควรทำให้เกิดความเสียหายใด ๆ ในการลบไฟล์นี้

วิธีหนึ่งในการลดสิ่งนี้คือการเปลี่ยนพอร์ตสำหรับ SSH จาก 22 เป็นอะไรตามอำเภอใจ เพื่อความปลอดภัยเพิ่มเติมบางอย่างDenyHostsสามารถบล็อกความพยายามในการเข้าสู่ระบบหลังจากความล้มเหลวจำนวนหนึ่ง ฉันขอแนะนำให้ติดตั้งและกำหนดค่า


22

fail2banยังสามารถช่วยได้อย่างยอดเยี่ยมสำหรับเครื่องจักรที่ต้องหันหน้าเข้าหาอินเทอร์เน็ตพอร์ต 22 SSH สามารถกำหนดค่าให้ใช้ hosts.allow หรือ iptables ที่มีขีด จำกัด แบบยืดหยุ่น


ฉันใช้สิ่งนั้น แต่มันก็ไม่ได้ป้องกัน btmp ไม่ให้เติมดังนั้นนี่จึงไม่ใช่คำตอบที่เป็นประโยชน์โดยสมบูรณ์ ฉันต้องการทราบว่ามีวิธีที่จะทำให้บันทึกเหล่านี้หมุนเวียนหรือมีขนาด จำกัด หรือไม่ซึ่งฉันพยายามค้นหา
leetNightshade

10

คุณสามารถตรวจสอบไฟล์ด้วยคำสั่ง lastb และกำหนดหมายเลข IP และอาจบล็อกหมายเลข IP หรือเครือข่ายจากการเข้าถึงเครื่องของคุณเพิ่มเติม นอกจากนี้ยังจะให้ข้อมูลว่าบัญชีถูกแฮ็ค ส่วนใหญ่แล้วมันจะเป็นรูท แต่คุณไม่มีทางรู้


1
lastb -a | moreเป็นวิธีที่ดีในการรับข้อมูลโฮสต์ระยะไกลแบบเต็มและทำความเข้าใจกับสิ่งที่เกิดขึ้น
nealmcb

4

สิ่งที่ฉันทำแม้ว่าฉันจะใช้สคริปต์ก็คือใช้คำสั่งดังนี้:

lastb -a | awk '{print $10}' | grep -v ^192 | sort | uniq | sed '/^$/d'

** "^ 192" เป็น octet เครือข่ายท้องถิ่นของฉัน (ไม่สามารถกำหนดเส้นทางได้) ฉันทำสิ่งนี้โดยอัตโนมัติ (เช่นสคริปต์) เช่น:

for i in `lastb -a | awk '{print $10}' | grep -v ^192 | sort | uniq | sed '/^$/d'`; do iptables -A INPUT -s $i -j DROP ; done
iptables-save

หรือ

for i in `lastb -a | awk '{print $10}' | grep -v ^192 | sort | uniq | sed '/^$/d'`
do
iptables -A INPUT -s $i -j DROP
done
iptables-save

การมองเห็นที่แตกต่างกันเพียงอย่างเดียว ... มันใช้งานได้ดีสำหรับฉัน

สำหรับขนาดของไฟล์ / var / log / btmp คุณจำเป็นต้องเปิดใช้งาน logrotate สำหรับดูที่คุณ logrotate conf ไฟล์สำหรับไฟล์ที่คล้ายกันที่ถูกหมุนสำหรับวิธีการทำเช่นนั้นใน /etc/logrotate.d/ - ดู ที่ syslog หรือ yum สำหรับรูปแบบจากนั้นคน logrotate จะแสดงตัวเลือกทั้งหมดให้คุณ C4


2
echo ‘’ > /var/log/btmp

ที่จะคืนพื้นที่ ปล่อยให้เวลาเล็กน้อยเพื่อเติมบิตจากนั้นใช้ iptables เปลี่ยนพอร์ต ssh หรือติดตั้งและกำหนดค่า fail2ban

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.