Apa yang dimaksud dengan entri log audit UFW?

11

Saya terkadang mendapatkan banyak entri log AUDIT ini

...

[UFW AUDIT] IN= OUT=eth0 SRC=176.58.105.134 DST=194.238.48.2 LEN=76 TOS=0x10 PREC=0x00 TTL=64 ID=32137 DF PROTO=UDP SPT=36231 DPT=123 LEN=56
[UFW ALLOW] IN= OUT=eth0 SRC=176.58.105.134 DST=194.238.48.2 LEN=76 TOS=0x10 PREC=0x00 TTL=64 ID=32137 DF PROTO=UDP SPT=36231 DPT=123 LEN=56
[UFW AUDIT] IN= OUT=lo SRC=192.168.192.254 DST=192.168.192.254 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=54579 DF PROTO=TCP SPT=59488 DPT=30002 WINDOW=32792 RES=0x00 SYN URGP=0
[UFW AUDIT] IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=192.168.192.254 DST=192.168.192.254 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=54579 DF PROTO=TCP SPT=59488 DPT=30002 WINDOW=32792 RES=0x00 SYN URGP=0
[UFW AUDIT] IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=192.168.192.254 DST=192.168.192.254 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=4319 DF PROTO=TCP SPT=59489 DPT=30002 WINDOW=32792 RES=0x00 SYN URGP=0

...

Apa artinya ini? Kapan itu terjadi dan mengapa? Haruskah dan bisakah saya menonaktifkan entri spesifik ini? Saya tidak ingin menonaktifkan logging UFW, tapi saya tidak yakin apakah baris ini bermanfaat sama sekali.

Perhatikan bahwa ini sebenarnya tidak terjadi di /var/log/ufw.log. Ini hanya terjadi pada /var/log/syslog. Mengapa demikian?

Info lebih lanjut

  • logging saya disetel ke media: Logging: on (medium)
Tom
sumber

Jawaban:

3

Setel pencatatan Anda lowuntuk menghapus AUDITpesan.

Tujuan AUDIT (dari apa yang saya lihat) terkait dengan pencatatan yang tidak standar / direkomendasikan - namun, itu dugaan, dan saya sepertinya tidak dapat menemukan sesuatu yang konkret dengan hal itu.

jrg
sumber
Level log ada di menu opsi.
MUY Belgium
@MUYBelgium opsi menu alat apa?
jrg
9

Itu tergantung pada garis. Biasanya, itu adalah Field = nilai.

Ada IN, OUT, antarmuka ingoing, atau keluar (atau keduanya, untuk paket yang baru saja disampaikan.

Beberapa dari mereka adalah:

  • KL , untuk Jenis layanan,
  • DST adalah ip tujuan,
  • SRC adalah sumber ip
  • TTL adalah waktu untuk hidup, penghitung kecil dikurangi setiap kali paket dilewatkan melalui router lain (jadi jika ada loop, paket menghancurkan dirinya sendiri sekali ke 0)
  • DF adalah "jangan fragmen" bit, meminta paket untuk tidak terfragmentasi ketika dikirim
  • PROTO adalah protokol (kebanyakan TCP dan UDP)
  • SPT adalah port sumber
  • DPT adalah port tujuan

dll.

Anda harus melihat pada dokumentasi TCP / UDP / IP, di mana semuanya dijelaskan secara lebih terperinci yang dapat saya lakukan.

Mari kita ambil yang pertama, itu berarti 176.58.105.134 mengirim paket UDP pada port 123 untuk 194.238.48.2. Itu untuk ntp. Jadi saya kira seseorang mencoba menggunakan komputer Anda sebagai server ntp, kemungkinan karena kesalahan.

Untuk jalur lain, itu aneh, lalu lintas di antarmuka loopback (lo), yaitu yang tidak ke mana-mana, ia pergi dan berasal dari komputer Anda.

Saya akan memeriksa apakah ada sesuatu yang mendengarkan pada tcp port 30002 dengan lsofatau netstat.

Lain-lain
sumber
Terima kasih. Port 30002 adalah mongodb arbiter running. Saya tidak tahu apa-apa ntp, haruskah saya khawatir?
Tom
Tidak. NTP hanya untuk mengatur waktu, Anda mungkin sudah menggunakan tanpa mengetahui (ketika Anda memeriksa "gunakan jaringan untuk menyinkronkan waktu" di gnome, itu menggunakan ntp). Itu hanya menyinkronkan waktu di jaringan. Mungkin ip adalah bagian dari kumpulan global jaringan ntp ( pool.ntp.org/fr ), maka permintaan dari seseorang di internet?
Lain
2

Di atas apa yang telah dikatakan, adalah mungkin untuk menyimpulkan apa yang akan dicatat dengan memeriksa aturan iptables . Secara khusus aturan pencocokan yang sedang dicatat dapat difilter seperti ini sudo iptables -L | grep -i "log":

ufw-before-logging-input  all  --  anywhere             anywhere
ufw-after-logging-input  all  --  anywhere             anywhere
ufw-before-logging-forward  all  --  anywhere             anywhere
ufw-after-logging-forward  all  --  anywhere             anywhere
ufw-before-logging-output  all  --  anywhere             anywhere
ufw-after-logging-output  all  --  anywhere             anywhere
Chain ufw-after-logging-forward (1 references)
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warning prefix "[UFW BLOCK] "
Chain ufw-after-logging-input (1 references)
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warning prefix "[UFW ALLOW] "
Chain ufw-after-logging-output (1 references)
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warning prefix "[UFW ALLOW] "
ufw-logging-deny  all  --  anywhere             anywhere             ctstate INVALID
Chain ufw-before-logging-forward (1 references)
LOG        all  --  anywhere             anywhere             ctstate NEW limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT] "
Chain ufw-before-logging-input (1 references)
LOG        all  --  anywhere             anywhere             ctstate NEW limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT] "
Chain ufw-before-logging-output (1 references)
LOG        all  --  anywhere             anywhere             ctstate NEW limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT] "
Chain ufw-logging-allow (0 references)
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warning prefix "[UFW ALLOW] "
Chain ufw-logging-deny (2 references)
LOG        all  --  anywhere             anywhere             ctstate INVALID limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT INVALID] "
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warning prefix "[UFW BLOCK] "
ufw-logging-deny  all  --  anywhere             anywhere             limit: avg 3/min burst 10
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 5 LOG level warning prefix "[UFW LIMIT BLOCK] "
Chain ufw-user-logging-forward (0 references)
Chain ufw-user-logging-input (0 references)
Chain ufw-user-logging-output (1 references)

Itu untuk sebagian besar aturan default. Memeriksa output di atas mengungkapkan ufw-before-*rantai untuk menghasilkan log [UFW AUDIT ..].

Saya bukan ahli besar tentang iptables dan manual UFW tidak terlalu membantu dalam hal ini tetapi sejauh yang saya tahu aturan yang cocok dengan rantai ini ada di /etc/ufw/before.rules .

Misalnya, baris-baris di bawah ini memungkinkan koneksi loopback yang mungkin telah memicu dua contoh baris terakhir dalam log Anda (yang dimulai dengan [AUDIT UFW] IN = lo)

# rules.before
# ....
# allow all on loopback
-A ufw-before-input -i lo -j ACCEPT
-A ufw-before-output -o lo -j ACCEPT
# ....

Sedangkan untuk bagian saya, saya mendapatkan banyak paket LLMNR yang tercatat di port 5353:

Mar 17 21:02:21 pc kernel: [133419.183616] [UFW AUDIT] IN=wlp2s0 OUT= MAC= SRC=192.168.1.2 DST=224.0.0.251 LEN=146 TOS=0x00 PREC=0x00 TTL=255 ID=22456 DF PROTO=UDP SPT=5353 DPT=5353 LEN=126 

Yang menurut saya disebabkan oleh hal berikut di rules.before:

# allow MULTICAST mDNS for service discovery (be sure the MULTICAST line above
# is uncommented)
-A ufw-before-input -p udp -d 224.0.0.251 --dport 5353 -j ACCEPT

Salah satu cara untuk menonaktifkannya adalah dengan menjalankan yang berikut:

sudo ufw deny 5353
Sebastian Müller
sumber