Xóa Khối UFW khỏi kern.log và sys.log


11

Sử dụng Nginx, Wordpress và Ubuntu 16.

Tôi liên tục bị bắn phá với những tin nhắn này trong kern.log , syslog and ufw.log

Nov 28 21:02:28 kernel: [246817.450026] [UFW BLOCK] IN=eth0 OUT= MAC=xx.xx SRC=122.3.133.77 DST=xx.xx LEN=60 TOS=0x00 PREC=0x00 TTL=53 ID=22334 DF PROTO=TCP SPT=45750 DPT=23 WINDOW=5808 RES=0x00 SYN URGP=0 
Nov 28 21:02:31 kernel: [246820.443191] [UFW BLOCK] IN=eth0 OUT= MAC=xx.xx SRC=122.3.133.77 DST=xx.xx LEN=60 TOS=0x00 PREC=0x00 TTL=53 ID=22335 DF PROTO=TCP SPT=45750 DPT=23 WINDOW=5808 RES=0x00 SYN URGP=0 
Nov 28 21:02:33 kernel: [246822.448520] [UFW BLOCK] IN=eth0 OUT= MAC=xx.xx SRC=195.154.181.110 DST=xx.xx LEN=40 TOS=0x00 PREC=0x00 TTL=246 ID=6401 PROTO=TCP SPT=52845 DPT=8709 WINDOW=1024 RES=0x00 SYN URGP=0 
Nov 28 21:02:37 kernel: [246826.438721] [UFW BLOCK] IN=eth0 OUT= MAC=xx.xx SRC=122.3.133.77 DST=xx.xx LEN=60 TOS=0x00 PREC=0x00 TTL=53 ID=22336 DF PROTO=TCP SPT=45750 DPT=23 WINDOW=5808 RES=0x00 SYN URGP=0 
Nov 28 21:03:26 kernel: [246875.605969] [UFW BLOCK] IN=eth0 OUT= MAC=xx.xx SRC=89.163.146.88 DST=xx.xx LEN=444 TOS=0x00 PREC=0x00 TTL=59 ID=45590 DF PROTO=UDP SPT=5149 DPT=5060 LEN=424 
Nov 28 21:03:41 kernel: [246890.099144] [UFW BLOCK] IN=eth0 OUT= MAC=xx.xx SRC=82.81.171.85 DST=xx.xx LEN=44 TOS=0x00 PREC=0x00 TTL=56 ID=19683 PROTO=TCP SPT=63561 DPT=2323 WINDOW=58193 RES=0x00 SYN URGP=0 
Nov 28 21:03:46 kernel: [246895.517766] [UFW BLOCK] IN=eth0 OUT= MAC=xx.xx SRC=94.102.49.174 DST=xx.xx LEN=40 TOS=0x00 PREC=0x00 TTL=249 ID=2066 PROTO=TCP SPT=51511 DPT=8000 WINDOW=1024 RES=0x00 SYN URGP=0 
Nov 28 21:03:49 kernel: [246898.714239] [UFW BLOCK] IN=eth0 OUT= MAC=xx.xx SRC=61.240.144.65 DST=xx.xx LEN=40 TOS=0x00 PREC=0x00 TTL=236 ID=31567 PROTO=TCP SPT=46807 DPT=8009 WINDOW=1024 RES=0x00 SYN URGP=0 
Nov 28 21:04:14 kernel: [246923.959948] [UFW BLOCK] IN=eth0 OUT= MAC=xx.xx SRC=163.172.91.185 DST=xx.xx LEN=40 TOS=0x08 PREC=0x00 TTL=243 ID=54321 PROTO=TCP SPT=47175 DPT=22 WINDOW=65535 RES=0x00 SYN URGP=0 
Nov 28 21:04:31 kernel: [246940.250298] [UFW BLOCK] IN=eth0 OUT= MAC=xx.xx SRC=78.168.185.115 DST=xx.xx LEN=40 TOS=0x00 PREC=0x00 TTL=51 ID=62125 PROTO=TCP SPT=52008 DPT=7547 WINDOW=13555 RES=0x00 SYN URGP=0 
  1. Vì những cái này đã được đăng nhập vào ufw.log, làm thế nào tôi có thể ngăn chúng xuất hiện tại kern.log và syslog?

  2. Có điều gì tôi phải làm để ngăn chặn các cuộc tấn công này hay điều này là bình thường để máy chủ trải nghiệm?

Câu trả lời:


13

Tùy chọn cấu hình UFW chỉ bật / tắt đăng nhập (và thay vào đó chỉ định mức ghi nhật ký tùy chỉnh):

logging on|off|LEVEL

chuyển đổi đăng nhập. Các gói ghi LOG_KERNnhật ký sử dụng tiện ích nhật ký hệ thống. Các hệ thống được cấu hình để rsyslog hỗ trợ cũng có thể đăng nhập /var/log/ufw.log. Chỉ định một LEVELlượt đăng nhập cho chỉ định LEVEL. Mức nhật ký mặc định là low.

Nếu bạn đang sử dụng cài đặt Ubuntu tiêu chuẩn, bạn có rsyslogdtiện ích mở rộng, có thể được cấu hình (và theo mặc định là) để tạo các tệp nhật ký riêng biệt này.

Trong Ubuntu 16.04, cấu hình ghi nhật ký UFW phải ở trong /etc/rsyslog.d/20-ufw.conf:

# Log kernel generated UFW log messages to file
:msg,contains,"[UFW " /var/log/ufw.log

# Uncomment the following to stop logging anything that matches the last rule.
# Doing this will stop logging kernel generated UFW log messages to the file
# normally containing kern.* messages (eg, /var/log/kern.log)
#& ~

Như bình luận mô tả, bạn chỉ nên bỏ dòng cuối cùng. Nếu không có, chỉ cần thêm & ~.

Ngược lại, nhận xét dòng cấu hình khác gây ra chỉ đăng nhập vào syslog/ kern.log.


2: Sử dụng tường lửa để chặn các cuộc tấn công, như bạn đã làm, là cách chính xác để xử lý tình huống.


2
Cảm ơn điều này đã làm việc cho tôi! Chỉ cần một lưu ý nhanh là bạn cần khởi động lại rsyslog để nó có hiệu lực: sudo dịch vụ rsyslog khởi động lại
jacklin

Thay vào đó, bản sao 20-ufw.conf của tôi có chỉ thị "& dừng". Có sự khác biệt đáng kể nào không? Nó không đăng nhập vào syslog hoặc kern.log nữa với điều đó.
icelava
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.