Бинарные файлы журналирования подключений

07 Feb 2014 | Автор: anchous |

Полез тут кой что подкрутить на своем простеньком хостинге, который я держу в Reg.ru под парсинг выдачи Яндекса и Wordstat.Yandex. Хостинг у Reg.ru надо заметить крайне надежный, в плане стабильности, и при этом весьма экономичный.

Держал бы у них даже некоторые свои проекты, если бы не мракобесие, творящееся в тырнетах, так что хостить проекты как то надежнее в бургонете.
Так вот, держу у них легкий Xen VPS крутящийся под Cent OS. Все удовольствие 360 рублей в месяц, за 512Mb RAM & 8Gb HDD.

И тут зачем то глянул занятость диска, а свободного пространства осталось всего 5%, при том что система от силы на гиг тянет.

Естественно первым делом в логи, и обнаруживаю занятный файл /var/log/btmp который и тянет на 5 гигов. Естественно что первым делом я его пнул через tail, после чего у меня заглючила консоль, так как листинг файла вывалил крякозябры, намекающие на то, что файл содержит не текстовую информацию, а бинарную.

Сам файл представляет из себя фиксацию неудачных попыток логина, так что по большому счету там преимущественно толкутся записи о брутфорс атаках на сервер.

Если просмотреть вывод файлы, через команду:
# last -f /var/log/btmp
то увидим что то типо такого:

test     ssh:notty    222.85.90.245    Thu Feb  6 18:10 – 18:10  (00:00)
test     ssh:notty    222.85.90.245    Thu Feb  6 18:09 – 18:10  (00:00)
test     ssh:notty    222.85.90.245    Thu Feb  6 18:09 – 18:09  (00:00)
root     ssh:notty    98.158.29.93     Thu Feb  6 18:07 – 18:09  (00:02)
root     ssh:notty    98.158.29.93     Thu Feb  6 18:07 – 18:07  (00:00)
root     ssh:notty    98.158.29.93     Thu Feb  6 18:07 – 18:07  (00:00)
root     ssh:notty    98.158.29.93     Thu Feb  6 18:07 – 18:07  (00:00)
mysql    ssh:notty    98.158.29.93     Thu Feb  6 18:07 – 18:07  (00:00)
mysql    ssh:notty    98.158.29.93     Thu Feb  6 18:07 – 18:07  (00:00)
mysql    ssh:notty    98.158.29.93     Thu Feb  6 18:07 – 18:07  (00:00)
mysql    ssh:notty    98.158.29.93     Thu Feb  6 18:07 – 18:07  (00:00)

то есть на лицо запалившиеся голубцы и логины под которыми они и пытались проломиться.

Также можно использовать команду
# utmpdump /var/log/btmp
дающую несколько более полную информацию и более попсовый листинг

Теоретически, можно настроить механизм, чтобы любители брута отправлялись,после нескольких неудачных попытов, сразу же в бан через iptables, и тогда надо будет настраивать ротацию лога, в /etc/logrotate.conf  подправив имеющееся выражение на это:
/var/log/btmp {
monthly
minsize 1M
create 0600 root utmp
rotate 1
}

Поскольку запариватся мне с ним не хотелось, то я его обнулил естественным путем
# cat /dev/null >  /var/log/btmp
после чего перевесил демона sshd на пятизначный порт > 1024, что естественно выключило все попытки брута, о чем я как то давно уже писал.

*** Хозяйке на заметку:
В системе имеются еще два файла:
/var/log/wtmp  в который пишутся все логины в систему
/var/run/utmp который показывает активные на данный момент сессии
синтаксис просмотра тот же самый, через команду utmpdump

VN:F [1.9.21_1169]
Rating: 8.7/10 (7 votes cast)
VN:F [1.9.21_1169]
Rating: +3 (from 3 votes)
Бинарные файлы журналирования подключений, 8.7 out of 10 based on 7 ratings

Теги: , ,

Ваш отзыв