空/var/log/btmp文件-当出现错误登录时不填充

Question

我在运行Debian7.0 64位的VPS上。我的问题是，失败的所有SSH连接尝试都不会出现在我的/var/log/btmp文件中。所以当我这么做的时候

sudo lastb

它(只)印了我：

btmp begins Tue Jul 28 18:32:30 2015

这里您获得了/var/log/btmp的权限。

-rw-rw---- 1 root utmp 1 Jul  2 21:27 /var/log/btmp

对于您的信息，/var/log/wtmp是正确的，最后一个命令工作正常。

Answer 1

我见过一些被黑客攻击的机器修改了属性，这样日志就不能写了。请张贴lsattr /var/log/btmp的输出，以确保它不是不可变的。

Answer 2

我今天在Centos 7服务器上遇到了这个问题。在上次日志旋转之后，/var/ log /btmp保持为空。“助手”(来自地名包)向我指出了正确的方向：

File: /var/log/btmp
 SELinux  : system_u:object_r:faillog_t:s0   , system_u:object_r:var_log_t:s0

检查：

ls -Z /var/log/*tmp*
-rw-------. root utmp system_u:object_r:var_log_t:s0   /var/log/btmp
-rw-------. root utmp system_u:object_r:faillog_t:s0   /var/log/btmp-20200501
-rw-rw-r--. root utmp system_u:object_r:wtmp_t:s0      /var/log/wtmp

复瘤后，btmp又开始生长。

restorecon -v /var/log/btmp
restorecon reset /var/log/btmp context system_u:object_r:var_log_t:s0->system_u:object_r:faillog_t:s0