91 votos

Mi archivo /var/log/btmp es enorme. ¿Qué debo hacer?

Mi /var/log/btmp El archivo tiene un tamaño de 1,3 GB. He leído que el archivo se "utiliza para almacenar información sobre el inicio de sesión fallido".

¿Qué significa esto para mi servidor? ¿Y puedo eliminar este archivo?

1 votos

¿1,3 GB? El mío tenía 14GB... jaja

111voto

Eltariel Puntos 895

Esto significa que la gente está tratando de forzar sus contraseñas (común en cualquier servidor público).

No debería causar ningún daño borrar este archivo.

Una forma de reducir esto es cambiar el puerto para SSH de 22 a algo arbitrario. Para obtener algo de seguridad adicional, DenyHosts puede bloquear los intentos de inicio de sesión después de un cierto número de fracasos. Recomiendo encarecidamente instalarlo y configurarlo.

28voto

natebc Puntos 93

fail2ban también puede ser una gran ayuda para las máquinas que deben mantener la orientación a Internet, puerto 22 SSH. Se puede configurar para utilizar hosts.allow o iptables con umbrales flexibles.

1 votos

Estoy usando eso, pero no evita que btmp se llene así que esto no es una respuesta completamente útil por sí misma. Me gustaría saber si hay una manera de hacer que estos registros roten o sean limitados en tamaño, que estoy tratando de buscar.

0 votos

Me parece que fail2ban ayuda a reducir un poco el volumen. Yo tengo el mío configurado para 3 intentos, baneo durante 2 horas. Cada IP, una vez baneada, no puede contribuir a btmp para ese periodo. Dicho esto, fail2ban será inoperante una vez que se queda sin espacio en el disco .

12voto

jeffreypriebe Puntos 1070

También podrías examinar el archivo con el comando lastb y determinar el número de IP y quizás bloquear el número de IP o la red para que no pueda acceder a tu máquina. Esto también proporcionará información sobre la cuenta que está siendo hackeada. Lo más probable es que sea root, pero nunca se sabe.

1 votos

lastb -a | more es una buena manera de obtener la información completa del host remoto, y tener una idea de lo que está pasando.

7voto

Dimiouioui Puntos 1

Lo que yo hago, aunque lo guión, es usar el comando así:

lastb -a | awk '{print $10}' | grep -v ^192 | sort | uniq | sed '/^$/d'

**El "^192" es el primer octeto de mi red local (no enrutable) Yo automatizo esto (también con un script) así:

for i in `lastb -a | awk '{print $10}' | grep -v ^192 | sort | uniq | sed '/^$/d'`; do iptables -A INPUT -s $i -j DROP ; done
iptables-save

O

for i in `lastb -a | awk '{print $10}' | grep -v ^192 | sort | uniq | sed '/^$/d'`
do
iptables -A INPUT -s $i -j DROP
done
iptables-save

Sólo un aspecto diferente para la visibilidad... Esto funciona bien para mí

En cuanto al tamaño del archivo /var/log/btmp necesitas habilitar logrotate para eso - mira tu archivo logrotate conf para un archivo similar que se rota para saber cómo hacerlo - usualmente en /etc/logrotate.d/ - mira el syslog o yum para el formato, y man logrotate te mostrará todas las opciones. C4

5voto

Timothy Frew Puntos 171

echo '' > /var/log/btmp

Así se recuperará el espacio. Dejar un poco para poblar un poco entonces implementar iptables, cambiar el puerto ssh o instalar y configurar fail2ban

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: