Ich bekomme manchmal viele dieser AUDIT-Protokolleinträge
...
[UFW AUDIT] IN= OUT=eth0 SRC=176.58.105.134 DST=194.238.48.2 LEN=76 TOS=0x10 PREC=0x00 TTL=64 ID=32137 DF PROTO=UDP SPT=36231 DPT=123 LEN=56
[UFW ALLOW] IN= OUT=eth0 SRC=176.58.105.134 DST=194.238.48.2 LEN=76 TOS=0x10 PREC=0x00 TTL=64 ID=32137 DF PROTO=UDP SPT=36231 DPT=123 LEN=56
[UFW AUDIT] IN= OUT=lo SRC=192.168.192.254 DST=192.168.192.254 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=54579 DF PROTO=TCP SPT=59488 DPT=30002 WINDOW=32792 RES=0x00 SYN URGP=0
[UFW AUDIT] IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=192.168.192.254 DST=192.168.192.254 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=54579 DF PROTO=TCP SPT=59488 DPT=30002 WINDOW=32792 RES=0x00 SYN URGP=0
[UFW AUDIT] IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=192.168.192.254 DST=192.168.192.254 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=4319 DF PROTO=TCP SPT=59489 DPT=30002 WINDOW=32792 RES=0x00 SYN URGP=0
...
Was ist die Bedeutung davon? Wann treten sie auf und warum? Sollte und kann ich diese spezifischen Einträge deaktivieren? Ich möchte die UFW-Protokollierung nicht deaktivieren, bin mir jedoch nicht sicher, ob diese Zeilen überhaupt nützlich sind.
Beachten Sie, dass dies in nicht tatsächlich auftritt /var/log/ufw.log
. Es kommt nur in vor /var/log/syslog
. Warum ist das so?
Mehr Info
- Meine Protokollierung ist auf mittel eingestellt:
Logging: on (medium)
Das hängt von der Linie ab. Normalerweise ist es Feld = Wert.
Es gibt IN, OUT, die eingehende Schnittstelle oder ausgehende (oder beides) für Pakete, die gerade weitergeleitet werden.
Einige davon sind:
etc.
Sie sollten sich die TCP / UDP / IP-Dokumentation ansehen, in der alles ausführlicher erklärt wird, als ich es jemals tun könnte.
Nehmen wir den ersten, das heißt, 176.58.105.134 hat ein UDP-Paket an Port 123 für 194.238.48.2 gesendet. Das ist für
ntp
. Ich denke also, jemand versucht, Ihren Computer als NTP-Server zu verwenden, wahrscheinlich aus Versehen.Für die andere Leitung ist das merkwürdig, das ist Verkehr auf der Loopback-Schnittstelle (lo), dh das geht nirgendwo hin, es geht und kommt von Ihrem Computer.
Ich würde prüfen, ob etwas auf TCP-Port 30002 mit
lsof
oder abhörtnetstat
.quelle
ntp
, sollte ich mir Sorgen machen?Zusätzlich zu dem, was gesagt wurde, ist es auch möglich, durch Überprüfen der iptables- Regeln abzuleiten, was protokolliert werden soll . Insbesondere können die übereinstimmenden Übereinstimmungsregeln wie folgt gefiltert werden
sudo iptables -L | grep -i "log"
:Dies sind größtenteils Standardregeln. Wenn Sie die Ausgabe oben überprüfen, werden die
ufw-before-*
Ketten angezeigt, in denen [UFW AUDIT ..] -Protokolle erstellt werden.Ich bin kein großer Experte für iptables und das UFW-Handbuch ist in dieser Hinsicht nicht sehr hilfreich, aber soweit ich die Regeln für diese Kette beurteilen kann, finden Sie in /etc/ufw/before.rules .
In den folgenden Zeilen sind beispielsweise Loopback-Verbindungen zulässig, die möglicherweise die letzten beiden Beispielzeilen in Ihrem Protokoll ausgelöst haben (diejenigen, die mit [UFW AUDIT] IN = lo beginnen).
Ich für meinen Teil erhalte viele protokollierte LLMNR- Pakete an Port 5353:
Was meiner Meinung nach durch Folgendes verursacht wird
rules.before
:Eine Möglichkeit, diese zu deaktivieren, besteht darin, Folgendes zu starten:
quelle