Was bedeuten die Überwachungsprotokolleinträge von UFW?

11

Ich bekomme manchmal viele dieser AUDIT-Protokolleinträge

...

[UFW AUDIT] IN= OUT=eth0 SRC=176.58.105.134 DST=194.238.48.2 LEN=76 TOS=0x10 PREC=0x00 TTL=64 ID=32137 DF PROTO=UDP SPT=36231 DPT=123 LEN=56
[UFW ALLOW] IN= OUT=eth0 SRC=176.58.105.134 DST=194.238.48.2 LEN=76 TOS=0x10 PREC=0x00 TTL=64 ID=32137 DF PROTO=UDP SPT=36231 DPT=123 LEN=56
[UFW AUDIT] IN= OUT=lo SRC=192.168.192.254 DST=192.168.192.254 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=54579 DF PROTO=TCP SPT=59488 DPT=30002 WINDOW=32792 RES=0x00 SYN URGP=0
[UFW AUDIT] IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=192.168.192.254 DST=192.168.192.254 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=54579 DF PROTO=TCP SPT=59488 DPT=30002 WINDOW=32792 RES=0x00 SYN URGP=0
[UFW AUDIT] IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=192.168.192.254 DST=192.168.192.254 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=4319 DF PROTO=TCP SPT=59489 DPT=30002 WINDOW=32792 RES=0x00 SYN URGP=0

...

Was ist die Bedeutung davon? Wann treten sie auf und warum? Sollte und kann ich diese spezifischen Einträge deaktivieren? Ich möchte die UFW-Protokollierung nicht deaktivieren, bin mir jedoch nicht sicher, ob diese Zeilen überhaupt nützlich sind.

Beachten Sie, dass dies in nicht tatsächlich auftritt /var/log/ufw.log. Es kommt nur in vor /var/log/syslog. Warum ist das so?

Mehr Info

  • Meine Protokollierung ist auf mittel eingestellt: Logging: on (medium)
Tom
quelle

Antworten:

3

Stellen Sie Ihre Protokollierung auf ein low, um die AUDITNachrichten zu entfernen .

Der Zweck von AUDIT (nach dem, was ich sehe) hängt mit der nicht standardmäßigen / empfohlenen Protokollierung zusammen - das ist jedoch eine Vermutung, und ich kann damit anscheinend nichts Konkretes finden.

jrg
quelle
Die Protokollstufe befindet sich im Optionsmenü.
MUY Belgien
@ MEYBelgium Optionsmenü von welchem ​​Tool?
jrg
9

Das hängt von der Linie ab. Normalerweise ist es Feld = Wert.

Es gibt IN, OUT, die eingehende Schnittstelle oder ausgehende (oder beides) für Pakete, die gerade weitergeleitet werden.

Einige davon sind:

  • AGB für die Art des Dienstes,
  • DST ist Ziel-IP,
  • SRC ist Quell-IP
  • TTL ist Zeit zum Leben, ein kleiner Zähler, der jedes Mal dekrementiert wird, wenn ein Paket durch einen anderen Router geleitet wird (wenn also eine Schleife vorhanden ist, zerstört sich das Paket einmal auf 0).
  • DF ist das Bit "Nicht fragmentieren" und fordert das Paket auf, beim Senden nicht fragmentiert zu werden
  • PROTO ist das Protokoll (meistens TCP und UDP)
  • SPT ist der Quellport
  • DPT ist der Zielport

etc.

Sie sollten sich die TCP / UDP / IP-Dokumentation ansehen, in der alles ausführlicher erklärt wird, als ich es jemals tun könnte.

Nehmen wir den ersten, das heißt, 176.58.105.134 hat ein UDP-Paket an Port 123 für 194.238.48.2 gesendet. Das ist für ntp. Ich denke also, jemand versucht, Ihren Computer als NTP-Server zu verwenden, wahrscheinlich aus Versehen.

Für die andere Leitung ist das merkwürdig, das ist Verkehr auf der Loopback-Schnittstelle (lo), dh das geht nirgendwo hin, es geht und kommt von Ihrem Computer.

Ich würde prüfen, ob etwas auf TCP-Port 30002 mit lsofoder abhört netstat.

Sonstiges
quelle
Vielen Dank. Port 30002 ist ein laufender Mongodb-Arbiter. Ich weiß aber nichts darüber ntp, sollte ich mir Sorgen machen?
Tom
Nein. NTP dient nur zum Einstellen der Zeit, die Sie wahrscheinlich bereits ohne Wissen verwendet haben (wenn Sie in gnome die Option "Netzwerk zum Synchronisieren der Zeit verwenden" aktivieren, wird ntp verwendet). Es wird nur die Zeit über ein Netzwerk synchronisiert. Vielleicht war die IP Teil des globalen Pools des NTP-Netzwerks ( pool.ntp.org/fr ), daher die Anfrage von jemandem im Internet?
Sonstiges
1

Zusätzlich zu dem, was gesagt wurde, ist es auch möglich, durch Überprüfen der iptables- Regeln abzuleiten, was protokolliert werden soll . Insbesondere können die übereinstimmenden Übereinstimmungsregeln wie folgt gefiltert werden sudo iptables -L | grep -i "log":

ufw-before-logging-input  all  --  anywhere             anywhere
ufw-after-logging-input  all  --  anywhere             anywhere
ufw-before-logging-forward  all  --  anywhere             anywhere
ufw-after-logging-forward  all  --  anywhere             anywhere
ufw-before-logging-output  all  --  anywhere             anywhere
ufw-after-logging-output  all  --  anywhere             anywhere
Chain ufw-after-logging-forward (1 references)
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warning prefix "[UFW BLOCK] "
Chain ufw-after-logging-input (1 references)
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warning prefix "[UFW ALLOW] "
Chain ufw-after-logging-output (1 references)
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warning prefix "[UFW ALLOW] "
ufw-logging-deny  all  --  anywhere             anywhere             ctstate INVALID
Chain ufw-before-logging-forward (1 references)
LOG        all  --  anywhere             anywhere             ctstate NEW limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT] "
Chain ufw-before-logging-input (1 references)
LOG        all  --  anywhere             anywhere             ctstate NEW limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT] "
Chain ufw-before-logging-output (1 references)
LOG        all  --  anywhere             anywhere             ctstate NEW limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT] "
Chain ufw-logging-allow (0 references)
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warning prefix "[UFW ALLOW] "
Chain ufw-logging-deny (2 references)
LOG        all  --  anywhere             anywhere             ctstate INVALID limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT INVALID] "
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warning prefix "[UFW BLOCK] "
ufw-logging-deny  all  --  anywhere             anywhere             limit: avg 3/min burst 10
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 5 LOG level warning prefix "[UFW LIMIT BLOCK] "
Chain ufw-user-logging-forward (0 references)
Chain ufw-user-logging-input (0 references)
Chain ufw-user-logging-output (1 references)

Dies sind größtenteils Standardregeln. Wenn Sie die Ausgabe oben überprüfen, werden die ufw-before-*Ketten angezeigt, in denen [UFW AUDIT ..] -Protokolle erstellt werden.

Ich bin kein großer Experte für iptables und das UFW-Handbuch ist in dieser Hinsicht nicht sehr hilfreich, aber soweit ich die Regeln für diese Kette beurteilen kann, finden Sie in /etc/ufw/before.rules .

In den folgenden Zeilen sind beispielsweise Loopback-Verbindungen zulässig, die möglicherweise die letzten beiden Beispielzeilen in Ihrem Protokoll ausgelöst haben (diejenigen, die mit [UFW AUDIT] IN = lo beginnen).

# rules.before
# ....
# allow all on loopback
-A ufw-before-input -i lo -j ACCEPT
-A ufw-before-output -o lo -j ACCEPT
# ....

Ich für meinen Teil erhalte viele protokollierte LLMNR- Pakete an Port 5353:

Mar 17 21:02:21 pc kernel: [133419.183616] [UFW AUDIT] IN=wlp2s0 OUT= MAC= SRC=192.168.1.2 DST=224.0.0.251 LEN=146 TOS=0x00 PREC=0x00 TTL=255 ID=22456 DF PROTO=UDP SPT=5353 DPT=5353 LEN=126 

Was meiner Meinung nach durch Folgendes verursacht wird rules.before:

# allow MULTICAST mDNS for service discovery (be sure the MULTICAST line above
# is uncommented)
-A ufw-before-input -p udp -d 224.0.0.251 --dport 5353 -j ACCEPT

Eine Möglichkeit, diese zu deaktivieren, besteht darin, Folgendes zu starten:

sudo ufw deny 5353
Sebastian Müller
quelle