Бинарные файлы журналирования подключений
07 Feb 2014 | Автор: dd |Полез тут кой что подкрутить на своем простеньком хостинге, который я держу в Reg.ru под парсинг выдачи Яндекса и Wordstat.Yandex. Хостинг у Reg.ru надо заметить крайне надежный, в плане стабильности, и при этом весьма экономичный.
Держал бы у них даже некоторые свои проекты, если бы не мракобесие, творящееся в тырнетах, так что хостить проекты как то надежнее в бургонете.
Так вот, держу у них легкий Xen VPS крутящийся под Cent OS. Все удовольствие 360 рублей в месяц, за 512Mb RAM & 8Gb HDD.
И тут зачем то глянул занятость диска, а свободного пространства осталось всего 5%, при том что система от силы на гиг тянет.
Естественно первым делом в логи, и обнаруживаю занятный файл /var/log/btmp который и тянет на 5 гигов. Естественно что первым делом я его пнул через tail, после чего у меня заглючила консоль, так как листинг файла вывалил крякозябры, намекающие на то, что файл содержит не текстовую информацию, а бинарную.
Сам файл представляет из себя фиксацию неудачных попыток логина, так что по большому счету там преимущественно толкутся записи о брутфорс атаках на сервер.
Если просмотреть вывод файлы, через команду:
# last -f /var/log/btmp
то увидим что то типо такого:
test ssh:notty 222.85.90.245 Thu Feb 6 18:10 – 18:10 (00:00)
test ssh:notty 222.85.90.245 Thu Feb 6 18:09 – 18:10 (00:00)
test ssh:notty 222.85.90.245 Thu Feb 6 18:09 – 18:09 (00:00)
root ssh:notty 98.158.29.93 Thu Feb 6 18:07 – 18:09 (00:02)
root ssh:notty 98.158.29.93 Thu Feb 6 18:07 – 18:07 (00:00)
root ssh:notty 98.158.29.93 Thu Feb 6 18:07 – 18:07 (00:00)
root ssh:notty 98.158.29.93 Thu Feb 6 18:07 – 18:07 (00:00)
mysql ssh:notty 98.158.29.93 Thu Feb 6 18:07 – 18:07 (00:00)
mysql ssh:notty 98.158.29.93 Thu Feb 6 18:07 – 18:07 (00:00)
mysql ssh:notty 98.158.29.93 Thu Feb 6 18:07 – 18:07 (00:00)
mysql ssh:notty 98.158.29.93 Thu Feb 6 18:07 – 18:07 (00:00)
то есть на лицо запалившиеся голубцы и логины под которыми они и пытались проломиться.
Также можно использовать команду
# utmpdump /var/log/btmp
дающую несколько более полную информацию и более попсовый листинг
Теоретически, можно настроить механизм, чтобы любители брута отправлялись,после нескольких неудачных попытов, сразу же в бан через iptables, и тогда надо будет настраивать ротацию лога, в /etc/logrotate.conf подправив имеющееся выражение на это:
/var/log/btmp {
monthly
minsize 1M
create 0600 root utmp
rotate 1
}
Поскольку запариватся мне с ним не хотелось, то я его обнулил естественным путем
# cat /dev/null > /var/log/btmp
после чего перевесил демона sshd на пятизначный порт > 1024, что естественно выключило все попытки брута, о чем я как то давно уже писал.
*** Хозяйке на заметку:
В системе имеются еще два файла:
/var/log/wtmp в который пишутся все логины в систему
/var/run/utmp который показывает активные на данный момент сессии
синтаксис просмотра тот же самый, через команду utmpdump
Теги: centos, IT безопасность, ssh
