Meu arquivo / var / log / btmp é enorme! O que devo fazer?

Isso significa que as pessoas estão tentando forçar suas senhas (comuns em qualquer servidor público).

Não deve causar nenhum dano limpar esse arquivo.

Uma maneira de reduzir isso é alterar a porta do SSH de 22 para algo arbitrário. Para alguma segurança adicional, DenyHosts pode bloquear as tentativas de login após um determinado número de falhas. Eu recomendo que você instale e configure-o.

fail2ban também pode ser uma grande ajuda para máquinas que precisam manter a Internet voltada para a porta 22 SSH. Pode ser configurado para usar hosts.allow ou iptables com limites flexíveis.

Você também pode examinar o arquivo com o comando lastb e determinar o número IP e, talvez, impedir que o número IP ou a rede acessem sua máquina. Isso também fornecerá informações sobre a conta que está sendo invadida. O mais provável é que seja root mas nunca se sabe

O que eu faço, embora eu faça o script, é usar o comando da seguinte forma:

lastb -a | awk '{print $10}' | grep -v ^192 | sort | uniq | sed '/^$/d'

** o "^ 192" é o primeiro octeto da minha rede local (não roteável) Eu automatizo isso (também com script) assim:

for i in 'lastb -a | awk '{print $10}' | grep -v ^192 | sort | uniq | sed '/^$/d''; do iptables -A INPUT -s $i -j DROP ; done
iptables-save

Ou

for i in 'lastb -a | awk '{print $10}' | grep -v ^192 | sort | uniq | sed '/^$/d''
do
iptables -A INPUT -s $i -j DROP
done
iptables-save

Apenas diferentes, procure visibilidade ... Isso funciona bem para mim

Quanto ao tamanho do arquivo / var / log / btmp, você precisa habilitar o logrotate para ver o arquivo logrotate conf em um arquivo semelhante que está sendo rotacionado para saber como fazer isso - normalmente em /etc/logrotate.d / - olhe para o syslog ou yum para o formato, e man logrotate mostrará todas as opções. C4

echo ‘’ > /var/log/btmp

Isso recuperará o espaço. Deixe um pouco para preencher um pouco, em seguida, implemente iptables, altere a porta ssh ou instale e configure o fail2ban