Kaldır UFW Block kern.log ve sys.log kaldırmak


11

Nginx, Wordpress ve Ubuntu 16'yı kullanma.

Bu mesajlarla sürekli bombalandım kern.log , syslog and ufw.log

Nov 28 21:02:28 kernel: [246817.450026] [UFW BLOCK] IN=eth0 OUT= MAC=xx.xx SRC=122.3.133.77 DST=xx.xx LEN=60 TOS=0x00 PREC=0x00 TTL=53 ID=22334 DF PROTO=TCP SPT=45750 DPT=23 WINDOW=5808 RES=0x00 SYN URGP=0 
Nov 28 21:02:31 kernel: [246820.443191] [UFW BLOCK] IN=eth0 OUT= MAC=xx.xx SRC=122.3.133.77 DST=xx.xx LEN=60 TOS=0x00 PREC=0x00 TTL=53 ID=22335 DF PROTO=TCP SPT=45750 DPT=23 WINDOW=5808 RES=0x00 SYN URGP=0 
Nov 28 21:02:33 kernel: [246822.448520] [UFW BLOCK] IN=eth0 OUT= MAC=xx.xx SRC=195.154.181.110 DST=xx.xx LEN=40 TOS=0x00 PREC=0x00 TTL=246 ID=6401 PROTO=TCP SPT=52845 DPT=8709 WINDOW=1024 RES=0x00 SYN URGP=0 
Nov 28 21:02:37 kernel: [246826.438721] [UFW BLOCK] IN=eth0 OUT= MAC=xx.xx SRC=122.3.133.77 DST=xx.xx LEN=60 TOS=0x00 PREC=0x00 TTL=53 ID=22336 DF PROTO=TCP SPT=45750 DPT=23 WINDOW=5808 RES=0x00 SYN URGP=0 
Nov 28 21:03:26 kernel: [246875.605969] [UFW BLOCK] IN=eth0 OUT= MAC=xx.xx SRC=89.163.146.88 DST=xx.xx LEN=444 TOS=0x00 PREC=0x00 TTL=59 ID=45590 DF PROTO=UDP SPT=5149 DPT=5060 LEN=424 
Nov 28 21:03:41 kernel: [246890.099144] [UFW BLOCK] IN=eth0 OUT= MAC=xx.xx SRC=82.81.171.85 DST=xx.xx LEN=44 TOS=0x00 PREC=0x00 TTL=56 ID=19683 PROTO=TCP SPT=63561 DPT=2323 WINDOW=58193 RES=0x00 SYN URGP=0 
Nov 28 21:03:46 kernel: [246895.517766] [UFW BLOCK] IN=eth0 OUT= MAC=xx.xx SRC=94.102.49.174 DST=xx.xx LEN=40 TOS=0x00 PREC=0x00 TTL=249 ID=2066 PROTO=TCP SPT=51511 DPT=8000 WINDOW=1024 RES=0x00 SYN URGP=0 
Nov 28 21:03:49 kernel: [246898.714239] [UFW BLOCK] IN=eth0 OUT= MAC=xx.xx SRC=61.240.144.65 DST=xx.xx LEN=40 TOS=0x00 PREC=0x00 TTL=236 ID=31567 PROTO=TCP SPT=46807 DPT=8009 WINDOW=1024 RES=0x00 SYN URGP=0 
Nov 28 21:04:14 kernel: [246923.959948] [UFW BLOCK] IN=eth0 OUT= MAC=xx.xx SRC=163.172.91.185 DST=xx.xx LEN=40 TOS=0x08 PREC=0x00 TTL=243 ID=54321 PROTO=TCP SPT=47175 DPT=22 WINDOW=65535 RES=0x00 SYN URGP=0 
Nov 28 21:04:31 kernel: [246940.250298] [UFW BLOCK] IN=eth0 OUT= MAC=xx.xx SRC=78.168.185.115 DST=xx.xx LEN=40 TOS=0x00 PREC=0x00 TTL=51 ID=62125 PROTO=TCP SPT=52008 DPT=7547 WINDOW=13555 RES=0x00 SYN URGP=0 
  1. Bunlar zaten giriş yapmış olduğundan ufw.log nasıl kern.log ve syslog görünmesini nasıl durdurabilirim?

  2. Bu saldırıları önlemek için yapmam gereken bir şey var mı veya bir sunucunun deneyimlemesi normal mi?

Yanıtlar:


13

UFW yapılandırma seçeneği yalnızca günlüğe kaydetmeyi açar / kapatır (ve alternatif olarak özel günlük kaydı düzeyini belirtir):

logging on|off|LEVEL

günlüğe kaydetmeyi değiştir. Günlüğe kaydedilen paketler LOG_KERNsyslog özelliğini kullanır . rsyslog Destek için yapılandırılan sistemler de oturum açabilir /var/log/ufw.log. Belirtilenler için LEVELgünlük kaydını açar LEVEL. Varsayılan günlük düzeyidir low.

Standart Ubuntu yüklemesini kullanıyorsanız, bu ayrılmış günlük dosyalarını oluşturmak için yapılandırılabilenrsyslogd (ve varsayılan olarak yapılandırılan ) bir uzantınız vardır .

Ubuntu 16.04'te UFW günlük yapılandırması şu konumda olmalıdır /etc/rsyslog.d/20-ufw.conf:

# Log kernel generated UFW log messages to file
:msg,contains,"[UFW " /var/log/ufw.log

# Uncomment the following to stop logging anything that matches the last rule.
# Doing this will stop logging kernel generated UFW log messages to the file
# normally containing kern.* messages (eg, /var/log/kern.log)
#& ~

Yorumda açıklandığı gibi, sadece son satırı açmalısınız. Eğer yoksa, ekleyin & ~.

Aksine, diğer yapılandırma satırını yorumlamak yalnızca syslog/ öğesinde oturum açmaya neden olur kern.log.


2: Zaten yaptığınız gibi saldırıları engellemek için bir güvenlik duvarı kullanmak, durumu ele almanın doğru yoludur.


2
Teşekkürler bu benim için çalıştı! Etkili olması için rsyslog'u yeniden başlatmanız gereken hızlı bir not: sudo service rsyslog restart
jacklin

20-ufw.conf kopyamın yerine "& stop" yönergesi var. Önemli bir fark var mı? Artık syslog veya kern.log dosyasına giriş yapmıyor.
buzla
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.