在宝塔面板中使用日志清理工具发现/var/log/btmp这个文件每天都在变大。
通过搜索发现此文件是记录错误登录的日志，文件较大意味着有人使用密码字典登录ssh服务，这个文件是需要用lastab 命令才可读的。
既然是记录爆破日志的文件，就不能随意删除或者关闭。
可以使用下面命令查看恶意登录的前十IP

sudo lastb | awk '{ print $3}' | awk '{++S[$NF]} END {for(a in S) print a, S[a]}' | sort -rk2 |head

然后使用iptable进行封堵。
既然使用了宝塔，就有更简单智能的方法，打开软件商店然后在宝塔插件中安装Fail2ban防爆破即可。
Fail2ban防爆破插件功能很多，不但可以防止ssh恶意登录还可以防止ftp、mysql、postfix、dovecot的恶意扫描，并且还能进行站点防护完成简单防CC和防止站点扫面，非常好用，而且服务内存占用不高大概10M的样子，建议安装。