Mon fichier /var/log/btmp est énorme ! Que dois-je faire ?

fail2ban peut également être d'une grande aide pour les machines qui doivent rester tournées vers l'internet, port 22 SSH. Il peut être configuré pour utiliser hosts.allow ou iptables avec des seuils flexibles.

Vous pouvez également examiner le fichier avec la commande lastb et déterminer le numéro d'IP et peut-être bloquer le numéro d'IP ou le réseau pour qu'il ne puisse plus accéder à votre machine. Cela fournira également des informations sur le compte qui a été piraté. Il est fort probable qu'il s'agisse de root, mais on ne sait jamais.

Ce que je fais, bien que je l'ai script, c'est utiliser la commande comme ceci :

lastb -a | awk '{print $10}' | grep -v ^192 | sort | uniq | sed '/^$/d'

**le "^192" est le premier octet de mon réseau local (non-routable) J'automatise ceci (également sous forme de script) comme suit :

for i in `lastb -a | awk '{print $10}' | grep -v ^192 | sort | uniq | sed '/^$/d'`; do iptables -A INPUT -s $i -j DROP ; done
iptables-save

Ou

for i in `lastb -a | awk '{print $10}' | grep -v ^192 | sort | uniq | sed '/^$/d'`
do
iptables -A INPUT -s $i -j DROP
done
iptables-save

Juste un regard différent pour la visibilité... Ceci fonctionne bien pour moi

En ce qui concerne la taille du fichier /var/log/btmp, vous devez activer logrotate pour cela - regardez dans votre fichier de conf logrotate pour un fichier similaire en rotation pour savoir comment faire - généralement dans /etc/logrotate.d/ - regardez dans syslog ou yum pour le format, et man logrotate vous montrera toutes les options. C4

echo '' > /var/log/btmp

Cela permettra de récupérer l'espace. Laissez-le se remplir un peu, puis implémentez iptables, changez le port ssh ou installez et configurez fail2ban.