Juddling Asked: 2010-03-05 12:09:33 +0800 CST2010-03-05 12:09:33 +0800 CST 2010-03-05 12:09:33 +0800 CST 我的 /var/log/btmp 文件很大!我应该怎么办? 772 我的/var/log/btmp文件大小为 1.3 GB。我读过该文件是“用于存储有关登录失败的信息”。 这对我的服务器意味着什么?我可以删除这个文件吗? centos log-files 7 个回答 Voted Best Answer ceejayoz 2010-03-05T12:15:59+08:002010-03-05T12:15:59+08:00 这意味着人们正试图暴力破解您的密码(在任何面向公众的服务器上都很常见)。 清除此文件不应该造成任何伤害。 减少这种情况的一种方法是将 SSH 的端口从 22 更改为任意值。对于一些额外的安全性,DenyHosts可以在一定次数的失败后阻止登录尝试。我强烈建议安装和配置它。 natebc 2010-03-05T19:04:23+08:002010-03-05T19:04:23+08:00 fail2ban对于必须保持面向 Internet 的机器(端口 22 SSH)也有很大帮助。它可以配置为使用具有灵活阈值的 hosts.allow 或 iptables。 mdpc 2010-03-05T14:11:43+08:002010-03-05T14:11:43+08:00 您还可以使用 lastb 命令检查文件并确定 IP 号,并可能阻止 IP 号或网络进一步访问您的计算机。这还将提供有关被黑客入侵的帐户的信息。很可能它会是 root 但你永远不知道 SeaPhor 2017-02-27T12:25:17+08:002017-02-27T12:25:17+08:00 尽管我编写了脚本,但我所做的是使用如下命令: lastb -a | awk '{print $10}' | grep -v ^192 | sort | uniq | sed '/^$/d' **“^192”是我的本地网络第一个八位字节(不可路由)我自动执行此操作(也是脚本),如下所示: for i in `lastb -a | awk '{print $10}' | grep -v ^192 | sort | uniq | sed '/^$/d'`; do iptables -A INPUT -s $i -j DROP ; done iptables-save 或者 for i in `lastb -a | awk '{print $10}' | grep -v ^192 | sort | uniq | sed '/^$/d'` do iptables -A INPUT -s $i -j DROP done iptables-save 只是不同的能见度...这对我很有效 至于 /var/log/btmp 文件的大小,您需要为此启用 logrotate - 查看 logrotate conf 文件以获取正在旋转的类似文件以了解如何执行此操作 - 通常在 /etc/logrotate.d/ 中 - 看在 syslog 或 yum 中获取格式,man logrotate 将显示所有选项。C4 Timothy Frew 2018-06-05T14:06:23+08:002018-06-05T14:06:23+08:00 echo '' > /var/log/btmp 这将重新获得空间。稍作填充,然后实现 iptables,更改 ssh 端口或安装和配置 fail2ban Nadav Har'El 2021-08-23T07:04:54+08:002021-08-23T07:04:54+08:00 /var/log/btmp一个巨大的文件可能会导致一个潜在的严重问题: 一些 Linux 发行版pam_lastlog.so通过该showfailed选项启用 PAM。此选项的作用是打印一条消息,例如“自上次成功登录以来,NNN 登录尝试失败”。他们没有告诉你的是,没有计数器有效地存储这个 NNN——而是pam_lastlog.so在每次成功登录期间读取整个/var/log/btmp文件。因为这个文件只会增长(当攻击者试图猜测你的密码时),在开放的互联网上几年后它很容易增长到几千兆字节,这可能会延迟每次登录数秒 - 根据我的经验,多达一分钟!这不是安全风险,但对用户来说非常烦人 - 想象每一次 ssh 或 scp 尝试都会延迟一分钟...... 以下是 PAM 错误跟踪器上的相关问题: https://github.com/linux-pam/linux-pam/issues/270 Griffin 2021-10-28T12:47:15+08:002021-10-28T12:47:15+08:00 我实际上遇到了 fail2ban 的问题并测试了 sshguard https://www.sshguard.net/ 安装了它,它只是在零配置下工作。
这意味着人们正试图暴力破解您的密码(在任何面向公众的服务器上都很常见)。
清除此文件不应该造成任何伤害。
减少这种情况的一种方法是将 SSH 的端口从 22 更改为任意值。对于一些额外的安全性,DenyHosts可以在一定次数的失败后阻止登录尝试。我强烈建议安装和配置它。
fail2ban对于必须保持面向 Internet 的机器(端口 22 SSH)也有很大帮助。它可以配置为使用具有灵活阈值的 hosts.allow 或 iptables。
您还可以使用 lastb 命令检查文件并确定 IP 号,并可能阻止 IP 号或网络进一步访问您的计算机。这还将提供有关被黑客入侵的帐户的信息。很可能它会是 root 但你永远不知道
尽管我编写了脚本,但我所做的是使用如下命令:
**“^192”是我的本地网络第一个八位字节(不可路由)我自动执行此操作(也是脚本),如下所示:
或者
只是不同的能见度...这对我很有效
至于 /var/log/btmp 文件的大小,您需要为此启用 logrotate - 查看 logrotate conf 文件以获取正在旋转的类似文件以了解如何执行此操作 - 通常在 /etc/logrotate.d/ 中 - 看在 syslog 或 yum 中获取格式,man logrotate 将显示所有选项。C4
echo '' > /var/log/btmp这将重新获得空间。稍作填充,然后实现 iptables,更改 ssh 端口或安装和配置 fail2ban
/var/log/btmp一个巨大的文件可能会导致一个潜在的严重问题:一些 Linux 发行版
pam_lastlog.so通过该showfailed选项启用 PAM。此选项的作用是打印一条消息,例如“自上次成功登录以来,NNN 登录尝试失败”。他们没有告诉你的是,没有计数器有效地存储这个 NNN——而是pam_lastlog.so在每次成功登录期间读取整个/var/log/btmp文件。因为这个文件只会增长(当攻击者试图猜测你的密码时),在开放的互联网上几年后它很容易增长到几千兆字节,这可能会延迟每次登录数秒 - 根据我的经验,多达一分钟!这不是安全风险,但对用户来说非常烦人 - 想象每一次 ssh 或 scp 尝试都会延迟一分钟......以下是 PAM 错误跟踪器上的相关问题:
https://github.com/linux-pam/linux-pam/issues/270
我实际上遇到了 fail2ban 的问题并测试了 sshguard https://www.sshguard.net/ 安装了它,它只是在零配置下工作。