Saya terkadang mendapatkan banyak entri log AUDIT ini
...
[UFW AUDIT] IN= OUT=eth0 SRC=176.58.105.134 DST=194.238.48.2 LEN=76 TOS=0x10 PREC=0x00 TTL=64 ID=32137 DF PROTO=UDP SPT=36231 DPT=123 LEN=56
[UFW ALLOW] IN= OUT=eth0 SRC=176.58.105.134 DST=194.238.48.2 LEN=76 TOS=0x10 PREC=0x00 TTL=64 ID=32137 DF PROTO=UDP SPT=36231 DPT=123 LEN=56
[UFW AUDIT] IN= OUT=lo SRC=192.168.192.254 DST=192.168.192.254 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=54579 DF PROTO=TCP SPT=59488 DPT=30002 WINDOW=32792 RES=0x00 SYN URGP=0
[UFW AUDIT] IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=192.168.192.254 DST=192.168.192.254 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=54579 DF PROTO=TCP SPT=59488 DPT=30002 WINDOW=32792 RES=0x00 SYN URGP=0
[UFW AUDIT] IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=192.168.192.254 DST=192.168.192.254 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=4319 DF PROTO=TCP SPT=59489 DPT=30002 WINDOW=32792 RES=0x00 SYN URGP=0
...
Apa artinya ini? Kapan itu terjadi dan mengapa? Haruskah dan bisakah saya menonaktifkan entri spesifik ini? Saya tidak ingin menonaktifkan logging UFW, tapi saya tidak yakin apakah baris ini bermanfaat sama sekali.
Perhatikan bahwa ini sebenarnya tidak terjadi di /var/log/ufw.log
. Ini hanya terjadi pada /var/log/syslog
. Mengapa demikian?
Info lebih lanjut
- logging saya disetel ke media:
Logging: on (medium)
Itu tergantung pada garis. Biasanya, itu adalah Field = nilai.
Ada IN, OUT, antarmuka ingoing, atau keluar (atau keduanya, untuk paket yang baru saja disampaikan.
Beberapa dari mereka adalah:
dll.
Anda harus melihat pada dokumentasi TCP / UDP / IP, di mana semuanya dijelaskan secara lebih terperinci yang dapat saya lakukan.
Mari kita ambil yang pertama, itu berarti 176.58.105.134 mengirim paket UDP pada port 123 untuk 194.238.48.2. Itu untuk
ntp
. Jadi saya kira seseorang mencoba menggunakan komputer Anda sebagai server ntp, kemungkinan karena kesalahan.Untuk jalur lain, itu aneh, lalu lintas di antarmuka loopback (lo), yaitu yang tidak ke mana-mana, ia pergi dan berasal dari komputer Anda.
Saya akan memeriksa apakah ada sesuatu yang mendengarkan pada tcp port 30002 dengan
lsof
ataunetstat
.sumber
ntp
, haruskah saya khawatir?Di atas apa yang telah dikatakan, adalah mungkin untuk menyimpulkan apa yang akan dicatat dengan memeriksa aturan iptables . Secara khusus aturan pencocokan yang sedang dicatat dapat difilter seperti ini
sudo iptables -L | grep -i "log"
:Itu untuk sebagian besar aturan default. Memeriksa output di atas mengungkapkan
ufw-before-*
rantai untuk menghasilkan log [UFW AUDIT ..].Saya bukan ahli besar tentang iptables dan manual UFW tidak terlalu membantu dalam hal ini tetapi sejauh yang saya tahu aturan yang cocok dengan rantai ini ada di /etc/ufw/before.rules .
Misalnya, baris-baris di bawah ini memungkinkan koneksi loopback yang mungkin telah memicu dua contoh baris terakhir dalam log Anda (yang dimulai dengan [AUDIT UFW] IN = lo)
Sedangkan untuk bagian saya, saya mendapatkan banyak paket LLMNR yang tercatat di port 5353:
Yang menurut saya disebabkan oleh hal berikut di
rules.before
:Salah satu cara untuk menonaktifkannya adalah dengan menjalankan yang berikut:
sumber