Co oznaczają wpisy dziennika kontroli UFW?

11

Czasami otrzymuję wiele wpisów w dzienniku AUDIT

...

[UFW AUDIT] IN= OUT=eth0 SRC=176.58.105.134 DST=194.238.48.2 LEN=76 TOS=0x10 PREC=0x00 TTL=64 ID=32137 DF PROTO=UDP SPT=36231 DPT=123 LEN=56
[UFW ALLOW] IN= OUT=eth0 SRC=176.58.105.134 DST=194.238.48.2 LEN=76 TOS=0x10 PREC=0x00 TTL=64 ID=32137 DF PROTO=UDP SPT=36231 DPT=123 LEN=56
[UFW AUDIT] IN= OUT=lo SRC=192.168.192.254 DST=192.168.192.254 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=54579 DF PROTO=TCP SPT=59488 DPT=30002 WINDOW=32792 RES=0x00 SYN URGP=0
[UFW AUDIT] IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=192.168.192.254 DST=192.168.192.254 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=54579 DF PROTO=TCP SPT=59488 DPT=30002 WINDOW=32792 RES=0x00 SYN URGP=0
[UFW AUDIT] IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=192.168.192.254 DST=192.168.192.254 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=4319 DF PROTO=TCP SPT=59489 DPT=30002 WINDOW=32792 RES=0x00 SYN URGP=0

...

Co to znaczy? Kiedy występują i dlaczego? Czy i czy mogę wyłączyć te konkretne wpisy? Nie chcę wyłączać rejestrowania UFW, ale nie jestem pewien, czy te linie są w ogóle przydatne.

Pamiętaj, że tak naprawdę nie występuje /var/log/ufw.log. Występuje tylko w /var/log/syslog. Dlaczego tak jest?

Więcej informacji

  • moje logowanie jest ustawione na średnie: Logging: on (medium)
Tomek
źródło

Odpowiedzi:

3

Ustaw swoje logowanie, lowaby usunąć AUDITwiadomości.

Cel AUDIT (z tego, co widzę) jest związany z domyślnym / zalecanym logowaniem - jednak jest to zgadywanie i nie wydaje mi się, aby znaleźć coś konkretnego.

jrg
źródło
Poziom dziennika znajduje się w menu opcji.
MUY Belgia,
@MUYBelgia menu opcji tego narzędzia?
jrg
9

To zależy od linii. Zwykle jest to pole = wartość.

Istnieje IN, OUT, interfejs wejściowy lub wyjściowy (lub oba, dla pakietów, które są właśnie przekazywane.

Kilka z nich to:

  • Warunki świadczenia usług, dla rodzaju usługi,
  • DST to docelowy adres IP,
  • SRC to źródłowy adres IP
  • TTL to czas życia, mały licznik zmniejszany za każdym razem, gdy pakiet jest przekazywany przez inny router (więc jeśli istnieje pętla, pakiet niszczy się raz na 0)
  • DF jest bitem „nie fragmentuj”, prosząc, aby pakiet nie był fragmentowany podczas wysyłania
  • PROTO to protokół (głównie TCP i UDP)
  • SPT to port źródłowy
  • DPT jest portem docelowym

itp.

Powinieneś rzucić okiem na dokumentację TCP / UDP / IP, gdzie wszystko jest wyjaśnione w bardziej szczegółowy sposób, jaki kiedykolwiek mogłem zrobić.

Weźmy pierwszy, co oznacza, że ​​176.58.105.134 wysłał pakiet UDP na port 123 dla 194.238.48.2. To za ntp. Więc chyba ktoś próbuje użyć twojego komputera jako serwera NTTP, prawdopodobnie przez błąd.

Z drugiej strony, to ciekawe, to jest ruch na interfejsie pętli zwrotnej (lo), tzn. Że nigdzie się nie jedzie, idzie i przychodzi z twojego komputera.

Sprawdziłbym, czy coś nasłuchuje na porcie TCP 30002 z lsoflub netstat.

Misc
źródło
Dziękuję Ci. Port 30002 jest działającym arbitrem mongodb. Nie wiem jednak nic ntp, czy powinienem się martwić?
Tom
Nie. NTP służy tylko do ustawiania czasu, prawdopodobnie już go użyłeś, nie wiedząc (kiedy zaznaczysz „użyj sieci do synchronizacji czasu” w gnome, użyj ntp). Po prostu synchronizuje czas w sieci. Może ip był częścią globalnej puli sieci NTTP ( pool.ntp.org/fr ), stąd prośba kogoś w Internecie?
Różne
2

Oprócz tego, co zostało powiedziane, można również wywnioskować, co będzie rejestrowane, sprawdzając reguły iptables . W szczególności pasujące reguły, które są rejestrowane, można filtrować w następujący sposób sudo iptables -L | grep -i "log":

ufw-before-logging-input  all  --  anywhere             anywhere
ufw-after-logging-input  all  --  anywhere             anywhere
ufw-before-logging-forward  all  --  anywhere             anywhere
ufw-after-logging-forward  all  --  anywhere             anywhere
ufw-before-logging-output  all  --  anywhere             anywhere
ufw-after-logging-output  all  --  anywhere             anywhere
Chain ufw-after-logging-forward (1 references)
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warning prefix "[UFW BLOCK] "
Chain ufw-after-logging-input (1 references)
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warning prefix "[UFW ALLOW] "
Chain ufw-after-logging-output (1 references)
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warning prefix "[UFW ALLOW] "
ufw-logging-deny  all  --  anywhere             anywhere             ctstate INVALID
Chain ufw-before-logging-forward (1 references)
LOG        all  --  anywhere             anywhere             ctstate NEW limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT] "
Chain ufw-before-logging-input (1 references)
LOG        all  --  anywhere             anywhere             ctstate NEW limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT] "
Chain ufw-before-logging-output (1 references)
LOG        all  --  anywhere             anywhere             ctstate NEW limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT] "
Chain ufw-logging-allow (0 references)
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warning prefix "[UFW ALLOW] "
Chain ufw-logging-deny (2 references)
LOG        all  --  anywhere             anywhere             ctstate INVALID limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT INVALID] "
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warning prefix "[UFW BLOCK] "
ufw-logging-deny  all  --  anywhere             anywhere             limit: avg 3/min burst 10
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 5 LOG level warning prefix "[UFW LIMIT BLOCK] "
Chain ufw-user-logging-forward (0 references)
Chain ufw-user-logging-input (0 references)
Chain ufw-user-logging-output (1 references)

Są to w większości domyślne reguły. Sprawdzenie powyższych danych wyjściowych ujawnia ufw-before-*łańcuchy do generowania dzienników [UFW AUDIT ..].

Nie jestem wielkim ekspertem od iptables, a instrukcja UFW nie jest w tym bardzo pomocna, ale o ile wiem, zasady pasujące do tego łańcucha znajdują się w /etc/ufw/before.rules .

Na przykład poniższe linie zezwalają na połączenia pętli zwrotnej, które mogły wyzwolić dwie ostatnie przykładowe linie w twoim dzienniku (te zaczynające się od [UFW AUDIT] IN = lo)

# rules.before
# ....
# allow all on loopback
-A ufw-before-input -i lo -j ACCEPT
-A ufw-before-output -o lo -j ACCEPT
# ....

Jeśli chodzi o mnie, otrzymuję dużo zarejestrowanych pakietów LLMNR na porcie 5353:

Mar 17 21:02:21 pc kernel: [133419.183616] [UFW AUDIT] IN=wlp2s0 OUT= MAC= SRC=192.168.1.2 DST=224.0.0.251 LEN=146 TOS=0x00 PREC=0x00 TTL=255 ID=22456 DF PROTO=UDP SPT=5353 DPT=5353 LEN=126 

Które myślę, że są spowodowane przez rules.before:

# allow MULTICAST mDNS for service discovery (be sure the MULTICAST line above
# is uncommented)
-A ufw-before-input -p udp -d 224.0.0.251 --dport 5353 -j ACCEPT

Jednym ze sposobów na ich dezaktywację jest uruchomienie następujących czynności:

sudo ufw deny 5353
Sebastian Müller
źródło