Hapus Blok UFW dari kern.log dan sys.log

11

Menggunakan Nginx, Wordpress dan Ubuntu 16.

Saya terus dibombardir dengan pesan-pesan ini di kern.log , syslog and ufw.log

Nov 28 21:02:28 kernel: [246817.450026] [UFW BLOCK] IN=eth0 OUT= MAC=xx.xx SRC=122.3.133.77 DST=xx.xx LEN=60 TOS=0x00 PREC=0x00 TTL=53 ID=22334 DF PROTO=TCP SPT=45750 DPT=23 WINDOW=5808 RES=0x00 SYN URGP=0 
Nov 28 21:02:31 kernel: [246820.443191] [UFW BLOCK] IN=eth0 OUT= MAC=xx.xx SRC=122.3.133.77 DST=xx.xx LEN=60 TOS=0x00 PREC=0x00 TTL=53 ID=22335 DF PROTO=TCP SPT=45750 DPT=23 WINDOW=5808 RES=0x00 SYN URGP=0 
Nov 28 21:02:33 kernel: [246822.448520] [UFW BLOCK] IN=eth0 OUT= MAC=xx.xx SRC=195.154.181.110 DST=xx.xx LEN=40 TOS=0x00 PREC=0x00 TTL=246 ID=6401 PROTO=TCP SPT=52845 DPT=8709 WINDOW=1024 RES=0x00 SYN URGP=0 
Nov 28 21:02:37 kernel: [246826.438721] [UFW BLOCK] IN=eth0 OUT= MAC=xx.xx SRC=122.3.133.77 DST=xx.xx LEN=60 TOS=0x00 PREC=0x00 TTL=53 ID=22336 DF PROTO=TCP SPT=45750 DPT=23 WINDOW=5808 RES=0x00 SYN URGP=0 
Nov 28 21:03:26 kernel: [246875.605969] [UFW BLOCK] IN=eth0 OUT= MAC=xx.xx SRC=89.163.146.88 DST=xx.xx LEN=444 TOS=0x00 PREC=0x00 TTL=59 ID=45590 DF PROTO=UDP SPT=5149 DPT=5060 LEN=424 
Nov 28 21:03:41 kernel: [246890.099144] [UFW BLOCK] IN=eth0 OUT= MAC=xx.xx SRC=82.81.171.85 DST=xx.xx LEN=44 TOS=0x00 PREC=0x00 TTL=56 ID=19683 PROTO=TCP SPT=63561 DPT=2323 WINDOW=58193 RES=0x00 SYN URGP=0 
Nov 28 21:03:46 kernel: [246895.517766] [UFW BLOCK] IN=eth0 OUT= MAC=xx.xx SRC=94.102.49.174 DST=xx.xx LEN=40 TOS=0x00 PREC=0x00 TTL=249 ID=2066 PROTO=TCP SPT=51511 DPT=8000 WINDOW=1024 RES=0x00 SYN URGP=0 
Nov 28 21:03:49 kernel: [246898.714239] [UFW BLOCK] IN=eth0 OUT= MAC=xx.xx SRC=61.240.144.65 DST=xx.xx LEN=40 TOS=0x00 PREC=0x00 TTL=236 ID=31567 PROTO=TCP SPT=46807 DPT=8009 WINDOW=1024 RES=0x00 SYN URGP=0 
Nov 28 21:04:14 kernel: [246923.959948] [UFW BLOCK] IN=eth0 OUT= MAC=xx.xx SRC=163.172.91.185 DST=xx.xx LEN=40 TOS=0x08 PREC=0x00 TTL=243 ID=54321 PROTO=TCP SPT=47175 DPT=22 WINDOW=65535 RES=0x00 SYN URGP=0 
Nov 28 21:04:31 kernel: [246940.250298] [UFW BLOCK] IN=eth0 OUT= MAC=xx.xx SRC=78.168.185.115 DST=xx.xx LEN=40 TOS=0x00 PREC=0x00 TTL=51 ID=62125 PROTO=TCP SPT=52008 DPT=7547 WINDOW=13555 RES=0x00 SYN URGP=0 
  1. Karena ini sudah login di ufw.log bagaimana saya bisa menghentikannya agar tidak muncul di kern.log dan syslog?

  2. Apakah ada sesuatu yang harus saya lakukan untuk mencegah serangan ini atau apakah ini normal untuk dialami server?

Joanna Mikalai
sumber

Jawaban:

13

Opsi konfigurasi UFW hanya mengaktifkan / menonaktifkan logging (dan sebagai alternatif menentukan level logging kustom):

logging on|off|LEVEL

beralih logging. Paket-paket yang dicatat menggunakan LOG_KERNfasilitas syslog. Sistem yang dikonfigurasi untuk rsyslog dukungan juga dapat masuk /var/log/ufw.log. Menentukan LEVELbelokan yang masuk untuk yang ditentukan LEVEL. Level log default adalah low.

Jika Anda menggunakan instalasi Ubuntu standar, Anda memiliki rsyslogdekstensi, yang dapat (dan secara default) dikonfigurasikan untuk menghasilkan file log yang terpisah ini.

Di Ubuntu 16.04, konfigurasi logging UFW harus dalam /etc/rsyslog.d/20-ufw.conf:

# Log kernel generated UFW log messages to file
:msg,contains,"[UFW " /var/log/ufw.log

# Uncomment the following to stop logging anything that matches the last rule.
# Doing this will stop logging kernel generated UFW log messages to the file
# normally containing kern.* messages (eg, /var/log/kern.log)
#& ~

Seperti yang dijelaskan dalam komentar, Anda harus menghapus tanda komentar pada baris terakhir. Jika tidak ada, tambahkan saja & ~.

Sebaliknya, mengomentari baris konfigurasi lain menyebabkan penebangan hanya ke syslog/ kern.log.


2: Menggunakan firewall untuk memblokir serangan, seperti yang sudah Anda lakukan, adalah cara yang tepat untuk menangani situasi.

Esa Jokinen
sumber
2
Terima kasih, ini berhasil untuk saya! Hanya catatan singkat bahwa Anda perlu me-restart rsyslog agar mulai berlaku: sudo service rsyslog restart
jacklin
Salinan 20-ufw.conf saya memiliki arahan "& hentikan". Adakah perbedaan yang signifikan? Itu tidak masuk ke syslog atau kern.log lagi dengan itu.
icelava