UFW'nin denetim günlüğü girdileri ne anlama geliyor?

11

Bazen bu AUDIT günlük girişlerinin birçoğunu 

...

[UFW AUDIT] IN= OUT=eth0 SRC=176.58.105.134 DST=194.238.48.2 LEN=76 TOS=0x10 PREC=0x00 TTL=64 ID=32137 DF PROTO=UDP SPT=36231 DPT=123 LEN=56
[UFW ALLOW] IN= OUT=eth0 SRC=176.58.105.134 DST=194.238.48.2 LEN=76 TOS=0x10 PREC=0x00 TTL=64 ID=32137 DF PROTO=UDP SPT=36231 DPT=123 LEN=56
[UFW AUDIT] IN= OUT=lo SRC=192.168.192.254 DST=192.168.192.254 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=54579 DF PROTO=TCP SPT=59488 DPT=30002 WINDOW=32792 RES=0x00 SYN URGP=0
[UFW AUDIT] IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=192.168.192.254 DST=192.168.192.254 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=54579 DF PROTO=TCP SPT=59488 DPT=30002 WINDOW=32792 RES=0x00 SYN URGP=0
[UFW AUDIT] IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=192.168.192.254 DST=192.168.192.254 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=4319 DF PROTO=TCP SPT=59489 DPT=30002 WINDOW=32792 RES=0x00 SYN URGP=0

...

Bunun anlamı ne? Ne zaman oluşurlar ve neden? Bu girişleri devre dışı bırakmalı mıyım ve devre dışı bırakabilir miyim? UFW günlüğünü devre dışı bırakmak istemiyorum, ancak bu satırların hiç yararlı olup olmadığından emin değilim.

Bunun aslında gerçekleşmediğini unutmayın /var/log/ufw.log. Sadece oluşur /var/log/syslog. Neden böyle?

Daha fazla bilgi

  • günlüğüm orta olarak ayarlandı: Logging: on (medium)
firewall  logging  ufw 
Tom
kaynak

Yanıtlar:

3

Mesajlarınızı lowkaldırmak için günlüğünüzü ayarlayın AUDIT.

AUDIT (gördüğüm kadarıyla) amacı, varsayılan olmayan / önerilen günlük kaydı ile ilgilidir - ancak, bu bir tahmin ve bununla ilgili somut bir şey bulamıyorum.

JRG
kaynak
Günlük düzeyi seçenek menüsünde bulunur.
MUY Belçika
@MUYBelçika hangi menünün seçenekler menüsü?
jrg
9

Bu çizgiye bağlıdır. Genellikle Alan = değerdir.

Yeni aktarılan paket için IN, OUT, gelen arabirim veya giden (veya her ikisi de) vardır.

Bunlardan birkaçı:

  • Hizmet türü için Hizmet Şartları ,
  • DST hedef ip,
  • SRC kaynak ip
  • TTL yaşam zamanıdır, bir paket başka bir yönlendiriciden her geçtiğinde küçük bir sayaç azalır (bu nedenle bir döngü varsa, paket kendini bir kez 0'a yok eder)
  • DF "parçalanma" bitidir, gönderildiğinde paketin parçalanmamasını ister
  • PROTO protokol (çoğunlukla TCP ve UDP)
  • SPT kaynak bağlantı noktasıdır
  • DPT hedef porttur

vb.

TCP / UDP / IP belgelerine bir göz atmalısınız.

İlkini alalım, yani 176.58.105.134, 194.238.48.2 için 123 numaralı bağlantı noktasına bir UDP paketi gönderdi. Bunun için ntp. Yani birisi muhtemelen yanlışlıkla bir ntp sunucusu olarak bilgisayarınızı kullanmaya çalışın sanırım.

Diğer satır için, bu meraklı, bu geri döngü arayüzünde trafik (lo), yani bu hiçbir yere gitmiyor, gidiyor ve bilgisayarınızdan geliyor.

Tcp port 30002'de lsofveya ile bir şey dinleyip dinlemediğini kontrol ederim netstat.

Çeşitli
kaynak
Teşekkür ederim. 30002 numaralı bağlantı noktası çalışan bir mongodb hakemidir. Bununla ilgili hiçbir şey bilmiyorum ntp, endişelenmeli miyim?
Tom
Hayır. NTP yalnızca zamanı ayarlamak içindir, muhtemelen bilmeden kullanmışsınızdır (gnome'da "zamanı senkronize etmek için ağı kullan" seçeneğini işaretlediğinizde, ntp kullanır). Sadece bir ağ boyunca zamanı senkronize eder. Belki ip, ntp ağının ( pool.ntp.org/fr ) küresel havuzunun bir parçasıydı , dolayısıyla internetteki birinden gelen istek?
Çeşitli
2

Söylenenlerin yanı sıra, iptables kurallarını inceleyerek nelerin kaydedileceğini çıkarmak da mümkündür . Özellikle günlüğe kaydedilen eşleşen kurallar şu şekilde filtrelenebilir sudo iptables -L | grep -i "log":

ufw-before-logging-input  all  --  anywhere             anywhere
ufw-after-logging-input  all  --  anywhere             anywhere
ufw-before-logging-forward  all  --  anywhere             anywhere
ufw-after-logging-forward  all  --  anywhere             anywhere
ufw-before-logging-output  all  --  anywhere             anywhere
ufw-after-logging-output  all  --  anywhere             anywhere
Chain ufw-after-logging-forward (1 references)
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warning prefix "[UFW BLOCK] "
Chain ufw-after-logging-input (1 references)
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warning prefix "[UFW ALLOW] "
Chain ufw-after-logging-output (1 references)
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warning prefix "[UFW ALLOW] "
ufw-logging-deny  all  --  anywhere             anywhere             ctstate INVALID
Chain ufw-before-logging-forward (1 references)
LOG        all  --  anywhere             anywhere             ctstate NEW limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT] "
Chain ufw-before-logging-input (1 references)
LOG        all  --  anywhere             anywhere             ctstate NEW limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT] "
Chain ufw-before-logging-output (1 references)
LOG        all  --  anywhere             anywhere             ctstate NEW limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT] "
Chain ufw-logging-allow (0 references)
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warning prefix "[UFW ALLOW] "
Chain ufw-logging-deny (2 references)
LOG        all  --  anywhere             anywhere             ctstate INVALID limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT INVALID] "
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warning prefix "[UFW BLOCK] "
ufw-logging-deny  all  --  anywhere             anywhere             limit: avg 3/min burst 10
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 5 LOG level warning prefix "[UFW LIMIT BLOCK] "
Chain ufw-user-logging-forward (0 references)
Chain ufw-user-logging-input (0 references)
Chain ufw-user-logging-output (1 references)

Bunlar çoğunlukla varsayılan kurallar içindir. Yukarıdaki çıktının incelenmesi, ufw-before-*[UFW AUDIT ..] günlükleri oluşturmak için zincirleri ortaya çıkarır .

Ben iptables konusunda büyük bir uzman değilim ve UFW kılavuzu bu konuda çok yararlı değil ama bu zincirle eşleşen kuralların /etc/ufw/before.rules içinde oturduğunu söyleyebildiğim kadarıyla .

Örneğin, aşağıdaki satırlar günlüğünüzdeki son iki örnek satırı tetikleyebilecek geri döngü bağlantılarına izin vermektedir ([UFW AUDIT] IN = lo ile başlayanlar)

# rules.before
# ....
# allow all on loopback
-A ufw-before-input -i lo -j ACCEPT
-A ufw-before-output -o lo -j ACCEPT
# ....

Benim açımdan, 5353 numaralı bağlantı noktasında bir sürü kayıtlı LLMNR paketi alıyorum :

Mar 17 21:02:21 pc kernel: [133419.183616] [UFW AUDIT] IN=wlp2s0 OUT= MAC= SRC=192.168.1.2 DST=224.0.0.251 LEN=146 TOS=0x00 PREC=0x00 TTL=255 ID=22456 DF PROTO=UDP SPT=5353 DPT=5353 LEN=126

Hangi bence aşağıdakilerden kaynaklanır rules.before:

# allow MULTICAST mDNS for service discovery (be sure the MULTICAST line above
# is uncommented)
-A ufw-before-input -p udp -d 224.0.0.251 --dport 5353 -j ACCEPT

Bunları devre dışı bırakmanın bir yolu aşağıdakileri ateşlemektir:

sudo ufw deny 5353
Sebastian Müller
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.