Я использую VPS, который работает под управлением Debian 7.0 64bit. И моя проблема в том, что все попытки SSH-соединения, которые не удались, не отображаются в моем файле / var / log / btmp. Итак, когда я это сделаю:
sudo lastb
Он (только) печатает меня:
btmp begins Tue Jul 28 18:32:30 2015
Здесь у вас есть права / var / log / btmp
-rw-rw---- 1 root utmp 1 Jul 2 21:27 /var/log/btmp
И к вашему сведению, / var / log / wtmp верен, и последняя команда работает правильно.
Сегодня я столкнулся с проблемой на сервере Centos 7. / var / log / btmp оставался пустым после последней ротации журнала. Адъютант (из пакета эпонимов) указал мне правильное направление:
File: /var/log/btmp
SELinux : system_u:object_r:faillog_t:s0 , system_u:object_r:var_log_t:s0
Проверка:
ls -Z /var/log/*tmp*
-rw-------. root utmp system_u:object_r:var_log_t:s0 /var/log/btmp
-rw-------. root utmp system_u:object_r:faillog_t:s0 /var/log/btmp-20200501
-rw-rw-r--. root utmp system_u:object_r:wtmp_t:s0 /var/log/wtmp
После восстановления btmp снова рос.
restorecon -v /var/log/btmp
restorecon reset /var/log/btmp context system_u:object_r:var_log_t:s0->system_u:object_r:faillog_t:s0
Я видел пару случаев, когда у взломанных машин были изменены атрибуты, поэтому журналы не могли быть записаны. Пожалуйста, опубликуйте вывод lsattr / var / log / btmp, чтобы убедиться, что он не является неизменяемым.