Czasami otrzymuję wiele wpisów w dzienniku AUDIT
...
[UFW AUDIT] IN= OUT=eth0 SRC=176.58.105.134 DST=194.238.48.2 LEN=76 TOS=0x10 PREC=0x00 TTL=64 ID=32137 DF PROTO=UDP SPT=36231 DPT=123 LEN=56
[UFW ALLOW] IN= OUT=eth0 SRC=176.58.105.134 DST=194.238.48.2 LEN=76 TOS=0x10 PREC=0x00 TTL=64 ID=32137 DF PROTO=UDP SPT=36231 DPT=123 LEN=56
[UFW AUDIT] IN= OUT=lo SRC=192.168.192.254 DST=192.168.192.254 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=54579 DF PROTO=TCP SPT=59488 DPT=30002 WINDOW=32792 RES=0x00 SYN URGP=0
[UFW AUDIT] IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=192.168.192.254 DST=192.168.192.254 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=54579 DF PROTO=TCP SPT=59488 DPT=30002 WINDOW=32792 RES=0x00 SYN URGP=0
[UFW AUDIT] IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=192.168.192.254 DST=192.168.192.254 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=4319 DF PROTO=TCP SPT=59489 DPT=30002 WINDOW=32792 RES=0x00 SYN URGP=0
...
Co to znaczy? Kiedy występują i dlaczego? Czy i czy mogę wyłączyć te konkretne wpisy? Nie chcę wyłączać rejestrowania UFW, ale nie jestem pewien, czy te linie są w ogóle przydatne.
Pamiętaj, że tak naprawdę nie występuje /var/log/ufw.log
. Występuje tylko w /var/log/syslog
. Dlaczego tak jest?
Więcej informacji
- moje logowanie jest ustawione na średnie:
Logging: on (medium)
To zależy od linii. Zwykle jest to pole = wartość.
Istnieje IN, OUT, interfejs wejściowy lub wyjściowy (lub oba, dla pakietów, które są właśnie przekazywane.
Kilka z nich to:
itp.
Powinieneś rzucić okiem na dokumentację TCP / UDP / IP, gdzie wszystko jest wyjaśnione w bardziej szczegółowy sposób, jaki kiedykolwiek mogłem zrobić.
Weźmy pierwszy, co oznacza, że 176.58.105.134 wysłał pakiet UDP na port 123 dla 194.238.48.2. To za
ntp
. Więc chyba ktoś próbuje użyć twojego komputera jako serwera NTTP, prawdopodobnie przez błąd.Z drugiej strony, to ciekawe, to jest ruch na interfejsie pętli zwrotnej (lo), tzn. Że nigdzie się nie jedzie, idzie i przychodzi z twojego komputera.
Sprawdziłbym, czy coś nasłuchuje na porcie TCP 30002 z
lsof
lubnetstat
.źródło
ntp
, czy powinienem się martwić?Oprócz tego, co zostało powiedziane, można również wywnioskować, co będzie rejestrowane, sprawdzając reguły iptables . W szczególności pasujące reguły, które są rejestrowane, można filtrować w następujący sposób
sudo iptables -L | grep -i "log"
:Są to w większości domyślne reguły. Sprawdzenie powyższych danych wyjściowych ujawnia
ufw-before-*
łańcuchy do generowania dzienników [UFW AUDIT ..].Nie jestem wielkim ekspertem od iptables, a instrukcja UFW nie jest w tym bardzo pomocna, ale o ile wiem, zasady pasujące do tego łańcucha znajdują się w /etc/ufw/before.rules .
Na przykład poniższe linie zezwalają na połączenia pętli zwrotnej, które mogły wyzwolić dwie ostatnie przykładowe linie w twoim dzienniku (te zaczynające się od [UFW AUDIT] IN = lo)
Jeśli chodzi o mnie, otrzymuję dużo zarejestrowanych pakietów LLMNR na porcie 5353:
Które myślę, że są spowodowane przez
rules.before
:Jednym ze sposobów na ich dezaktywację jest uruchomienie następujących czynności:
źródło