/var/log/btmpไฟล์ของฉันมีขนาด 1.3 GB ฉันอ่านแล้วว่าไฟล์นี้เป็น "ใช้เพื่อเก็บข้อมูลเกี่ยวกับการเข้าสู่ระบบที่ล้มเหลว"
สิ่งนี้หมายความว่าสำหรับเซิร์ฟเวอร์ของฉัน และฉันจะลบไฟล์นี้ได้หรือไม่
คำตอบ:
ซึ่งหมายความว่าผู้คนกำลังพยายามข่มขู่บังคับรหัสผ่านของคุณ (โดยทั่วไปบนเซิร์ฟเวอร์สาธารณะใด ๆ )
ไม่ควรทำให้เกิดความเสียหายใด ๆ ในการลบไฟล์นี้
วิธีหนึ่งในการลดสิ่งนี้คือการเปลี่ยนพอร์ตสำหรับ SSH จาก 22 เป็นอะไรตามอำเภอใจ เพื่อความปลอดภัยเพิ่มเติมบางอย่างDenyHostsสามารถบล็อกความพยายามในการเข้าสู่ระบบหลังจากความล้มเหลวจำนวนหนึ่ง ฉันขอแนะนำให้ติดตั้งและกำหนดค่า
fail2banยังสามารถช่วยได้อย่างยอดเยี่ยมสำหรับเครื่องจักรที่ต้องหันหน้าเข้าหาอินเทอร์เน็ตพอร์ต 22 SSH สามารถกำหนดค่าให้ใช้ hosts.allow หรือ iptables ที่มีขีด จำกัด แบบยืดหยุ่น
คุณสามารถตรวจสอบไฟล์ด้วยคำสั่ง lastb และกำหนดหมายเลข IP และอาจบล็อกหมายเลข IP หรือเครือข่ายจากการเข้าถึงเครื่องของคุณเพิ่มเติม นอกจากนี้ยังจะให้ข้อมูลว่าบัญชีถูกแฮ็ค ส่วนใหญ่แล้วมันจะเป็นรูท แต่คุณไม่มีทางรู้
lastb -a | moreเป็นวิธีที่ดีในการรับข้อมูลโฮสต์ระยะไกลแบบเต็มและทำความเข้าใจกับสิ่งที่เกิดขึ้น
สิ่งที่ฉันทำแม้ว่าฉันจะใช้สคริปต์ก็คือใช้คำสั่งดังนี้:
lastb -a | awk '{print $10}' | grep -v ^192 | sort | uniq | sed '/^$/d'
** "^ 192" เป็น octet เครือข่ายท้องถิ่นของฉัน (ไม่สามารถกำหนดเส้นทางได้) ฉันทำสิ่งนี้โดยอัตโนมัติ (เช่นสคริปต์) เช่น:
for i in `lastb -a | awk '{print $10}' | grep -v ^192 | sort | uniq | sed '/^$/d'`; do iptables -A INPUT -s $i -j DROP ; done
iptables-save
หรือ
for i in `lastb -a | awk '{print $10}' | grep -v ^192 | sort | uniq | sed '/^$/d'`
do
iptables -A INPUT -s $i -j DROP
done
iptables-save
การมองเห็นที่แตกต่างกันเพียงอย่างเดียว ... มันใช้งานได้ดีสำหรับฉัน
สำหรับขนาดของไฟล์ / var / log / btmp คุณจำเป็นต้องเปิดใช้งาน logrotate สำหรับดูที่คุณ logrotate conf ไฟล์สำหรับไฟล์ที่คล้ายกันที่ถูกหมุนสำหรับวิธีการทำเช่นนั้นใน /etc/logrotate.d/ - ดู ที่ syslog หรือ yum สำหรับรูปแบบจากนั้นคน logrotate จะแสดงตัวเลือกทั้งหมดให้คุณ C4
echo ‘’ > /var/log/btmp
ที่จะคืนพื้นที่ ปล่อยให้เวลาเล็กน้อยเพื่อเติมบิตจากนั้นใช้ iptables เปลี่ยนพอร์ต ssh หรือติดตั้งและกำหนดค่า fail2ban