Это означает, что люди пытаются взломать ваши пароли (обычно на любом общедоступном сервере).
Очистка этого файла не должна причинить никакого вреда.
Один из способов уменьшить это - изменить порт для SSH с 22 на что-то произвольное. Для дополнительной безопасности DenyHosts может блокировать попытки входа в систему после определенного количества сбоев. Я очень рекомендую установить и настроить его.
fail2ban также может быть очень полезен для компьютеров, которые должны быть подключены к Интернету, порт 22 SSH. Его можно настроить на использование hosts.allow или iptables с гибкими пороговыми значениями.
Я использую это, но это не мешает заполнению btmp, так что это не совсем полезный ответ сам по себе. Я хотел бы знать, есть ли способ заставить эти журналы вращаться или быть ограниченным по размеру, который я пытаюсь найти.
leetNightshade
10
Вы также можете проверить файл с помощью команды lastb и определить IP-номер и, возможно, заблокировать IP-номер или сеть от дальнейшего доступа к вашему компьютеру. Это также предоставит информацию о взломанной учетной записи. Скорее всего это будет root, но вы никогда не узнаете
lastb -a | moreэто хороший способ получить полную информацию об удаленном хосте и понять, что происходит.
nealmcb
4
Что я делаю, хотя и пишу сценарий, так это использую команду:
lastb -a | awk '{print $10}' | grep -v ^192 | sort | uniq | sed '/^$/d'
** «^ 192» - это первый октет моей локальной сети (не маршрутизируемый). Я автоматизирую это (также с помощью сценариев) следующим образом:
for i in `lastb -a | awk '{print $10}' | grep -v ^192 | sort | uniq | sed '/^$/d'`; do iptables -A INPUT -s $i -j DROP ; done
iptables-save
Или же
for i in `lastb -a | awk '{print $10}' | grep -v ^192 | sort | uniq | sed '/^$/d'`
do
iptables -A INPUT -s $i -j DROP
done
iptables-save
Просто другой вид для видимости ... Это хорошо работает для меня
Что касается размера файла / var / log / btmp, вам нужно включить logrotate для этого - посмотрите на файл logrotate conf для аналогичного файла, который поворачивается, как это сделать - обычно в /etc/logrotate.d/ - посмотрите в системном журнале или yum для формата, и man logrotate покажет вам все варианты. C4
Это вернет себе пространство. Оставьте немного, чтобы немного заполнить, затем реализовать iptables, изменить порт ssh или установить и настроить fail2ban
Ответы:
Это означает, что люди пытаются взломать ваши пароли (обычно на любом общедоступном сервере).
Очистка этого файла не должна причинить никакого вреда.
Один из способов уменьшить это - изменить порт для SSH с 22 на что-то произвольное. Для дополнительной безопасности DenyHosts может блокировать попытки входа в систему после определенного количества сбоев. Я очень рекомендую установить и настроить его.
источник
fail2ban также может быть очень полезен для компьютеров, которые должны быть подключены к Интернету, порт 22 SSH. Его можно настроить на использование hosts.allow или iptables с гибкими пороговыми значениями.
источник
Вы также можете проверить файл с помощью команды lastb и определить IP-номер и, возможно, заблокировать IP-номер или сеть от дальнейшего доступа к вашему компьютеру. Это также предоставит информацию о взломанной учетной записи. Скорее всего это будет root, но вы никогда не узнаете
источник
lastb -a | moreэто хороший способ получить полную информацию об удаленном хосте и понять, что происходит.Что я делаю, хотя и пишу сценарий, так это использую команду:
** «^ 192» - это первый октет моей локальной сети (не маршрутизируемый). Я автоматизирую это (также с помощью сценариев) следующим образом:
Или же
Просто другой вид для видимости ... Это хорошо работает для меня
Что касается размера файла / var / log / btmp, вам нужно включить logrotate для этого - посмотрите на файл logrotate conf для аналогичного файла, который поворачивается, как это сделать - обычно в /etc/logrotate.d/ - посмотрите в системном журнале или yum для формата, и man logrotate покажет вам все варианты. C4
источник
Это вернет себе пространство. Оставьте немного, чтобы немного заполнить, затем реализовать iptables, изменить порт ssh или установить и настроить fail2ban
источник