Entfernen Sie den UFW-Block aus kern.log und sys.log

11

Mit Nginx, Wordpress und Ubuntu 16.

Ich werde ständig mit diesen Nachrichten bombardiert kern.log , syslog and ufw.log

Nov 28 21:02:28 kernel: [246817.450026] [UFW BLOCK] IN=eth0 OUT= MAC=xx.xx SRC=122.3.133.77 DST=xx.xx LEN=60 TOS=0x00 PREC=0x00 TTL=53 ID=22334 DF PROTO=TCP SPT=45750 DPT=23 WINDOW=5808 RES=0x00 SYN URGP=0 
Nov 28 21:02:31 kernel: [246820.443191] [UFW BLOCK] IN=eth0 OUT= MAC=xx.xx SRC=122.3.133.77 DST=xx.xx LEN=60 TOS=0x00 PREC=0x00 TTL=53 ID=22335 DF PROTO=TCP SPT=45750 DPT=23 WINDOW=5808 RES=0x00 SYN URGP=0 
Nov 28 21:02:33 kernel: [246822.448520] [UFW BLOCK] IN=eth0 OUT= MAC=xx.xx SRC=195.154.181.110 DST=xx.xx LEN=40 TOS=0x00 PREC=0x00 TTL=246 ID=6401 PROTO=TCP SPT=52845 DPT=8709 WINDOW=1024 RES=0x00 SYN URGP=0 
Nov 28 21:02:37 kernel: [246826.438721] [UFW BLOCK] IN=eth0 OUT= MAC=xx.xx SRC=122.3.133.77 DST=xx.xx LEN=60 TOS=0x00 PREC=0x00 TTL=53 ID=22336 DF PROTO=TCP SPT=45750 DPT=23 WINDOW=5808 RES=0x00 SYN URGP=0 
Nov 28 21:03:26 kernel: [246875.605969] [UFW BLOCK] IN=eth0 OUT= MAC=xx.xx SRC=89.163.146.88 DST=xx.xx LEN=444 TOS=0x00 PREC=0x00 TTL=59 ID=45590 DF PROTO=UDP SPT=5149 DPT=5060 LEN=424 
Nov 28 21:03:41 kernel: [246890.099144] [UFW BLOCK] IN=eth0 OUT= MAC=xx.xx SRC=82.81.171.85 DST=xx.xx LEN=44 TOS=0x00 PREC=0x00 TTL=56 ID=19683 PROTO=TCP SPT=63561 DPT=2323 WINDOW=58193 RES=0x00 SYN URGP=0 
Nov 28 21:03:46 kernel: [246895.517766] [UFW BLOCK] IN=eth0 OUT= MAC=xx.xx SRC=94.102.49.174 DST=xx.xx LEN=40 TOS=0x00 PREC=0x00 TTL=249 ID=2066 PROTO=TCP SPT=51511 DPT=8000 WINDOW=1024 RES=0x00 SYN URGP=0 
Nov 28 21:03:49 kernel: [246898.714239] [UFW BLOCK] IN=eth0 OUT= MAC=xx.xx SRC=61.240.144.65 DST=xx.xx LEN=40 TOS=0x00 PREC=0x00 TTL=236 ID=31567 PROTO=TCP SPT=46807 DPT=8009 WINDOW=1024 RES=0x00 SYN URGP=0 
Nov 28 21:04:14 kernel: [246923.959948] [UFW BLOCK] IN=eth0 OUT= MAC=xx.xx SRC=163.172.91.185 DST=xx.xx LEN=40 TOS=0x08 PREC=0x00 TTL=243 ID=54321 PROTO=TCP SPT=47175 DPT=22 WINDOW=65535 RES=0x00 SYN URGP=0 
Nov 28 21:04:31 kernel: [246940.250298] [UFW BLOCK] IN=eth0 OUT= MAC=xx.xx SRC=78.168.185.115 DST=xx.xx LEN=40 TOS=0x00 PREC=0x00 TTL=51 ID=62125 PROTO=TCP SPT=52008 DPT=7547 WINDOW=13555 RES=0x00 SYN URGP=0 
  1. Da diese bereits in ufw.log angemeldet sind, wie kann ich verhindern, dass sie bei kern.log und syslog angezeigt werden?

  2. Muss ich etwas tun, um diese Angriffe zu verhindern, oder ist dies für einen Server normal?

Joanna Mikalai
quelle

Antworten:

13

Die UFW- Konfigurationsoption schaltet die Protokollierung nur ein / aus (und gibt alternativ die benutzerdefinierte Protokollierungsstufe an):

logging on|off|LEVEL

Protokollierung umschalten. Protokollierte Pakete verwenden die LOG_KERNSyslog-Funktion. Für den rsyslog Support konfigurierte Systeme können sich ebenfalls anmelden /var/log/ufw.log. Angeben eines LEVELTurns, der sich für das angegebene anmeldet LEVEL. Die Standardprotokollstufe ist low.

Wenn Sie eine Standard-Ubuntu-Installation verwenden, verfügen Sie über eine rsyslogdErweiterung, die so konfiguriert werden kann (und standardmäßig ist) , dass diese getrennten Protokolldateien generiert werden.

In Ubuntu 16.04 sollte die UFW-Protokollierungskonfiguration wie folgt sein /etc/rsyslog.d/20-ufw.conf:

# Log kernel generated UFW log messages to file
:msg,contains,"[UFW " /var/log/ufw.log

# Uncomment the following to stop logging anything that matches the last rule.
# Doing this will stop logging kernel generated UFW log messages to the file
# normally containing kern.* messages (eg, /var/log/kern.log)
#& ~

Wie der Kommentar beschreibt, sollten Sie nur die letzte Zeile auskommentieren. Wenn es keine gibt, fügen Sie einfach hinzu & ~.

Im Gegensatz dazu führt das Auskommentieren der anderen Konfigurationszeile dazu, dass nur bei syslog/ protokolliert wird kern.log.


2: Die Verwendung einer Firewall zum Blockieren von Angriffen, wie Sie es bereits getan haben, ist der richtige Weg, um mit der Situation umzugehen.

Esa Jokinen
quelle
2
Danke, das hat bei mir funktioniert! Nur eine kurze Anmerkung, dass Sie rsyslog neu starten müssen, damit es wirksam wird: sudo service rsyslog restart
jacklin
Meine Kopie von 20-ufw.conf hat stattdessen eine "& stop" -Richtlinie. Gibt es einen signifikanten Unterschied? Damit wird nicht mehr in syslog oder kern.log protokolliert.
Icelava