Các mục nhật ký kiểm toán của UFW có nghĩa là gì?

11

Đôi khi tôi nhận được rất nhiều các mục nhật ký AUDIT trong 

...

[UFW AUDIT] IN= OUT=eth0 SRC=176.58.105.134 DST=194.238.48.2 LEN=76 TOS=0x10 PREC=0x00 TTL=64 ID=32137 DF PROTO=UDP SPT=36231 DPT=123 LEN=56
[UFW ALLOW] IN= OUT=eth0 SRC=176.58.105.134 DST=194.238.48.2 LEN=76 TOS=0x10 PREC=0x00 TTL=64 ID=32137 DF PROTO=UDP SPT=36231 DPT=123 LEN=56
[UFW AUDIT] IN= OUT=lo SRC=192.168.192.254 DST=192.168.192.254 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=54579 DF PROTO=TCP SPT=59488 DPT=30002 WINDOW=32792 RES=0x00 SYN URGP=0
[UFW AUDIT] IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=192.168.192.254 DST=192.168.192.254 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=54579 DF PROTO=TCP SPT=59488 DPT=30002 WINDOW=32792 RES=0x00 SYN URGP=0
[UFW AUDIT] IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=192.168.192.254 DST=192.168.192.254 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=4319 DF PROTO=TCP SPT=59489 DPT=30002 WINDOW=32792 RES=0x00 SYN URGP=0

...

Ý nghĩa của việc này là gì? Khi nào chúng xảy ra và tại sao? Tôi có nên và có thể vô hiệu hóa các mục cụ thể này không? Tôi không muốn tắt ghi nhật ký UFW, nhưng tôi không chắc liệu những dòng này có hữu ích hay không.

Lưu ý rằng điều này không thực sự xảy ra trong /var/log/ufw.log. Nó chỉ xảy ra trong /var/log/syslog. Tại sao điều này là trường hợp?

Thêm thông tin

  • đăng nhập của tôi được đặt ở mức trung bình: Logging: on (medium)
firewall  logging  ufw 
Tom
nguồn

Câu trả lời:

3

Đặt đăng nhập của bạn lowđể loại bỏ các AUDITtin nhắn.

Mục đích của KIỂM TOÁN (từ những gì tôi thấy) có liên quan đến việc ghi nhật ký không mặc định / được đề xuất - tuy nhiên, đó là một phỏng đoán và dường như tôi không thể tìm thấy bất cứ điều gì cụ thể với điều đó.

tháng giêng
nguồn
Mức độ của nhật ký là trong menu tùy chọn.
MUY Bỉ
@MUYBelgium menu tùy chọn của công cụ gì?
JRG
9

Điều đó phụ thuộc vào dòng. Thông thường, nó là Field = value.

Có IN, OUT, giao diện nhập hoặc gửi đi (hoặc cả hai, cho gói vừa được chuyển tiếp.

Một vài trong số đó là:

  • ĐKDV , đối với Loại dịch vụ,
  • DST là ip đích,
  • SRC là ip nguồn
  • TTL là thời gian để sống, một bộ đếm nhỏ giảm dần mỗi khi một gói được truyền qua bộ định tuyến khác (vì vậy nếu có một vòng lặp, gói sẽ tự hủy một lần về 0)
  • DF là bit "không phân mảnh", yêu cầu gói không bị phân mảnh khi gửi
  • PROTO là giao thức (chủ yếu là TCP và UDP)
  • SPT là cổng nguồn
  • DPT là cổng đích

Vân vân.

Bạn nên xem tài liệu TCP / UDP / IP, nơi mọi thứ được giải thích theo cách chi tiết hơn mà tôi có thể làm.

Hãy lấy cái đầu tiên, điều đó có nghĩa là 176.58.105.134 đã gửi một gói UDP trên cổng 123 cho 194.238.48.2. Đó là cho ntp. Vì vậy, tôi đoán ai đó cố gắng sử dụng máy tính của bạn như một máy chủ ntp, có thể là do lỗi.

Đối với dòng khác, điều đó gây tò mò, đó là lưu lượng truy cập trên giao diện loopback (lo), tức là không đi đâu cả, nó đi và đến từ máy tính của bạn.

Tôi sẽ kiểm tra xem có gì đó đang nghe trên cổng tcp 30002 với lsofhay không netstat.

Linh tinh
nguồn
Cảm ơn bạn. Cổng 30002 là một arbiter mongodb đang chạy. Tôi không biết gì về ntpmặc dù, tôi có nên lo lắng?
Tom
NTP chỉ là để đặt thời gian, bạn có thể đã sử dụng mà không biết (khi bạn kiểm tra "sử dụng mạng để đồng bộ hóa thời gian" trong gnome, nó sử dụng ntp). Nó chỉ đồng bộ thời gian trên một mạng. Có lẽ ip là một phần của nhóm mạng ntp toàn cầu ( pool.ntp.org/fr ), do đó yêu cầu từ một người nào đó trên internet?
Linh tinh
2

Trên đầu trang của những gì đã được nói, cũng có thể suy ra những gì sẽ được ghi lại bằng cách kiểm tra các quy tắc iptables . Cụ thể các quy tắc phù hợp đang được ghi lại có thể được lọc như thế này sudo iptables -L | grep -i "log":

ufw-before-logging-input  all  --  anywhere             anywhere
ufw-after-logging-input  all  --  anywhere             anywhere
ufw-before-logging-forward  all  --  anywhere             anywhere
ufw-after-logging-forward  all  --  anywhere             anywhere
ufw-before-logging-output  all  --  anywhere             anywhere
ufw-after-logging-output  all  --  anywhere             anywhere
Chain ufw-after-logging-forward (1 references)
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warning prefix "[UFW BLOCK] "
Chain ufw-after-logging-input (1 references)
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warning prefix "[UFW ALLOW] "
Chain ufw-after-logging-output (1 references)
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warning prefix "[UFW ALLOW] "
ufw-logging-deny  all  --  anywhere             anywhere             ctstate INVALID
Chain ufw-before-logging-forward (1 references)
LOG        all  --  anywhere             anywhere             ctstate NEW limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT] "
Chain ufw-before-logging-input (1 references)
LOG        all  --  anywhere             anywhere             ctstate NEW limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT] "
Chain ufw-before-logging-output (1 references)
LOG        all  --  anywhere             anywhere             ctstate NEW limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT] "
Chain ufw-logging-allow (0 references)
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warning prefix "[UFW ALLOW] "
Chain ufw-logging-deny (2 references)
LOG        all  --  anywhere             anywhere             ctstate INVALID limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT INVALID] "
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warning prefix "[UFW BLOCK] "
ufw-logging-deny  all  --  anywhere             anywhere             limit: avg 3/min burst 10
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 5 LOG level warning prefix "[UFW LIMIT BLOCK] "
Chain ufw-user-logging-forward (0 references)
Chain ufw-user-logging-input (0 references)
Chain ufw-user-logging-output (1 references)

Đó là cho các quy tắc mặc định hầu hết các phần. Kiểm tra đầu ra ở trên cho thấy các ufw-before-*chuỗi để tạo nhật ký [UFW AUDIT ..].

Tôi không phải là một chuyên gia lớn về iptables và hướng dẫn sử dụng UFW không hữu ích lắm về điều này nhưng theo như tôi có thể nói các quy tắc phù hợp với chuỗi này nằm trong / etc/ufw/b Before.rules .

Ví dụ: các dòng bên dưới đang cho phép các kết nối loopback có thể đã kích hoạt hai dòng ví dụ cuối cùng trong nhật ký của bạn (các dòng bắt đầu bằng [UFW AUDIT] IN = lo)

# rules.before
# ....
# allow all on loopback
-A ufw-before-input -i lo -j ACCEPT
-A ufw-before-output -o lo -j ACCEPT
# ....

Về phần tôi, tôi nhận được rất nhiều gói LLMNR đã đăng nhập trên cổng 5353:

Mar 17 21:02:21 pc kernel: [133419.183616] [UFW AUDIT] IN=wlp2s0 OUT= MAC= SRC=192.168.1.2 DST=224.0.0.251 LEN=146 TOS=0x00 PREC=0x00 TTL=255 ID=22456 DF PROTO=UDP SPT=5353 DPT=5353 LEN=126

Mà tôi nghĩ là do sau đây trong rules.before:

# allow MULTICAST mDNS for service discovery (be sure the MULTICAST line above
# is uncommented)
-A ufw-before-input -p udp -d 224.0.0.251 --dport 5353 -j ACCEPT

Một cách để hủy kích hoạt chúng là thực hiện các thao tác sau:

sudo ufw deny 5353
Sebastian Müller
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.