Plik /var/log/btmp w Linux (np. Ubuntu) zapisuje wszystkie nieudane próby logowania do systemu. Jest to specjalny binarny log, którego nie można czytać zwykłym cat, lecz trzeba używać narzędzi takich jak lastb.
Szczegółowe wyjaśnienie
- Lokalizacja:
/var/log/btmp
- Cel:
- Rejestruje każde nieudane logowanie (np. błędne hasło, próba logowania na nieistniejące konto).
- Format:
- Plik binarny – nie jest przeznaczony do bezpośredniego czytania.
- Powiązane pliki:
utmp– aktualnie zalogowani użytkownicy.wtmp– historia wszystkich logowań i wylogowań.btmp– historia nieudanych logowań.
Jak sprawdzić zawartość /var/log/btmp
- Polecenie
lastb:bashlastbWyświetli listę nieudanych logowań (użytkownik, czas, źródło IP/tty). - Ograniczenie wyników:bash
lastb -n 10Pokazuje ostatnich 10 nieudanych prób. - Sprawdzenie rozmiaru pliku:bash
ls -lh /var/log/btmpJeśli plik jest bardzo duży, oznacza to wiele nieudanych prób (np. ataki brute-force).
Dlaczego to ważne?
- Bezpieczeństwo:
- Analiza
btmppozwala wykryć próby włamania, np. boty skanujące SSH.
- Analiza
- Monitorowanie:
- Administratorzy często sprawdzają
lastb, aby ocenić ryzyko i podjąć działania (zmiana hasła, blokada IP).
- Administratorzy często sprawdzają
- Rotacja logów:
- Plik może szybko rosnąć na serwerach wystawionych do internetu. Dlatego systemy logrotate zwykle rotują
btmp(np./etc/logrotate.d/btmp).
- Plik może szybko rosnąć na serwerach wystawionych do internetu. Dlatego systemy logrotate zwykle rotują
Podsumowanie znaczenie plików historii logowania w tabeli
| Plik | Funkcja | Polecenie do odczytu |
|---|---|---|
/var/run/utmp | Aktualnie zalogowani użytkownicy | who |
/var/log/wtmp | Historia logowań/wylogowań | last |
/var/log/btmp | Historia nieudanych logowań | lastb |
Podsumowanie
Plik /var/log/btmp to log nieudanych logowań w Ubuntu/Linux. Do analizy używa się polecenia lastb. Warto go monitorować, bo duża liczba wpisów może oznaczać atak brute-force na serwer.
