Pour le rajouter dans le logrotate, créer le fichier /etc/logrotate/btmp: (on peut remplacer monthly par weekly s'il grandit trop vite)
/var/log/btmp {monthly minsize 1M create 0600 root utmp rotate 1 }Pour lire le fichier, on peut faire un last /var/log/btmp ou bien simplement lastb.exemple : lastb -s 15:00 donne les tentatives depuis 15:00
Pour pallier les attaques brute-force,
on peut changer le port ssh (au lieu du 22).
il suffit de changer la ligne Port 22 dans /etc/ssh/sshd_config par Port 12345 (ce qu'on veut entre 1024 et 65535)
(ne pas oublier de faire sudo service ssh reload après)
C'est très simple et rapide à mettre en place et assez efficace.
Pour se connecter, il faudra penser à se connecter sur le bon port : ssh nomduserveur -p 12345
Plus d'info sur la sécurisation du service ssh :
https://korben.info/tuto-ssh-securiser.html
Un truc pour avoir la liste des IP attaquants avec le nbre d'occurence :
sudo last -f /var/log/btmp | awk '{print $3}' | sort | uniq -c | sort -nOn peut alors manuellement rejeter avec IPTABLES (si installé) tel IP. Faire le script nommé firewall:
#!/bin/bashsudo last -f /var/log/btmp | awk '{print $3}' | sort | uniq -c | sort -npuis faire un firewall 218.92.1.158 pour bannir telle IP
(voir https://www.question-defense.com/2009/07/03/how-to-read-varlogbtmp-rotate-the-btmp-log-with-logrotate )
A terme, on peut envisager d'installer une solution fail2ban pour bloquer tel ou tel ip de façon automatique
https://doc.ubuntu-fr.org/fail2ban
