LINUX btmp 日志

在 Linux 系统中，`btmp`（也称为 `bad login attempts` 日志）是一个用于记录失败登录尝试的日志文件。它通常位于 `/var/log/btmp` 或 `/var/log/secure`（根据发行版不同而有所差异）。这个日志对于监控系统安全、检测暴力破解攻击非常有用。

---

## 🔍 1. btmp 文件的作用

- **记录所有失败的登录尝试**（包括 SSH、Telnet、FTP 等服务）
- **帮助识别潜在的安全威胁**（如暴力破解攻击）
- **与 `wtmp` 文件配合使用**：`wtmp` 记录成功登录，`btmp` 记录失败登录

---

## 📁 2. btmp 的位置

| 发行版 | 路径 |
|--------|------|
| CentOS/RHEL | `/var/log/btmp` |
| Ubuntu/Debian | `/var/log/auth.log`（可能包含失败登录信息） |
| Arch Linux | `/var/log/auth.log` |

> 注意：某些系统（如 Ubuntu）不直接提供 `btmp`，而是将失败登录信息记录在 `/var/log/auth.log` 中。你可以使用 `lastb` 命令查看这些内容。

---

## 🧾 3. 查看 btmp 日志

### 使用 `lastb` 命令（推荐）

```bash
lastb
```

这会列出所有失败的登录尝试，例如：

```
root     ssh:notty    192.168.1.100   Fri Jul  7 14:23 - 14:23  (00:00)
user1    ssh:notty    192.168.1.101   Fri Jul  7 14:22 - 14:22  (00:00)
```

### 查看原始 btmp 文件（需要 root 权限）

```bash
sudo lastb -f /var/log/btmp
```

或者使用 `utmpdump` 工具查看二进制格式：

```bash
sudo utmpdump /var/log/btmp
```

---

## 🛡️ 4. 安全建议

- **定期检查 btmp**：通过脚本或工具自动分析失败登录。
- **限制 SSH 登录尝试次数**：使用 `fail2ban` 或 `denyhosts` 防止暴力破解。
- **禁用 root 登录**：修改 `/etc/ssh/sshd_config` 中的 `PermitRootLogin no`。
- **使用密钥认证代替密码**：提高 SSH 安全性。

---

## 🧪 5. 示例：使用 fail2ban 监控 btmp

安装并配置 `fail2ban` 可以自动阻止频繁失败登录的 IP 地址。

```bash
sudo apt install fail2ban  # Debian/Ubuntu
sudo yum install fail2ban  # CentOS/RHEL
```

然后编辑 `/etc/fail2ban/jail.conf`，启用 `sshd` 模块：

```ini
[sshd]
enabled = true
```

重启服务：

```bash
sudo systemctl restart fail2ban
```

---

## ✅ 总结

| 项目 | 内容 |
|------|------|
| 文件路径 | `/var/log/btmp`（部分系统为 `/var/log/auth.log`） |
| 命令 | `lastb`、`utmpdump` |
| 功能 | 记录失败登录尝试 |
| 安全用途 | 防御暴力破解、安全审计 |

如果你有具体的系统环境（如 Ubuntu、CentOS 等），我可以提供更详细的指导。