Что означают записи журнала аудита UFW?

Question 1

Иногда я получаю много этих записей журнала AUDIT в

...

[UFW AUDIT] IN= OUT=eth0 SRC=176.58.105.134 DST=194.238.48.2 LEN=76 TOS=0x10 PREC=0x00 TTL=64 ID=32137 DF PROTO=UDP SPT=36231 DPT=123 LEN=56
[UFW ALLOW] IN= OUT=eth0 SRC=176.58.105.134 DST=194.238.48.2 LEN=76 TOS=0x10 PREC=0x00 TTL=64 ID=32137 DF PROTO=UDP SPT=36231 DPT=123 LEN=56
[UFW AUDIT] IN= OUT=lo SRC=192.168.192.254 DST=192.168.192.254 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=54579 DF PROTO=TCP SPT=59488 DPT=30002 WINDOW=32792 RES=0x00 SYN URGP=0
[UFW AUDIT] IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=192.168.192.254 DST=192.168.192.254 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=54579 DF PROTO=TCP SPT=59488 DPT=30002 WINDOW=32792 RES=0x00 SYN URGP=0
[UFW AUDIT] IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=192.168.192.254 DST=192.168.192.254 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=4319 DF PROTO=TCP SPT=59489 DPT=30002 WINDOW=32792 RES=0x00 SYN URGP=0

...

Что это значит? Когда они происходят и почему? Должен ли я отключить эти конкретные записи? Я не хочу отключать ведение журнала UFW, но я не уверен, полезны ли эти строки вообще.

Обратите внимание, что это на самом деле не происходит в /var/log/ufw.log. Это происходит только в /var/log/syslog. Почему это так?

Дополнительная информация

Мой журнал установлен на средний: Logging: on (medium)

Question 2

Установите для входа значение low, чтобы удалить сообщения AUDIT.

Цель AUDIT (из того, что я вижу) связана с ведением журналов не по умолчанию / не рекомендуется - однако это предположение, и я не могу найти ничего конкретного с этим.

Question 3

Question 4

Это зависит от линии. Обычно это поле = значение.

Существует IN, OUT, входящий интерфейс или исходящий (или оба, для пакета, который только что передан.

Вот некоторые из них:

TOS , для Типа обслуживания
DST - это IP-адрес назначения,
SRC - это IP-источник
[ 1122] TTL - время жизни, маленький счетчик уменьшается каждый раз, когда пакет проходит через другой маршрутизатор (поэтому, если есть цикл, пакет уничтожается один раз до 0)

DF - это бит "не фрагментировать", запрашивающий пакет не быть фрагментированным при отправке

PROTO - это протокол (в основном TCP и UDP)

[ 1125] SPT - порт источника

DPT - порт назначения

и т. Д.

Вы должны взглянуть на Документация по TCP / UDP / IP, где все объясняется более детально, чем я когда-либо мог.

Давайте возьмем первый, это означает, что 176.58.105.134 отправил пакет UDP на порт 123 для 194.238.48.2 , Это для ntp. Поэтому я думаю, что кто-то пытается использовать ваш компьютер в качестве ntp-сервера, вероятно, по ошибке.
Что касается другой линии, это любопытно, это трафик через интерфейс обратной связи (lo), то есть он никуда не идет, он идет и приходит с вашего компьютера.

Я бы проверил, прослушивает ли что-нибудь порт TCP2 с помощью lsof или netstat.

Question 5

Вдобавок к тому, что было сказано, также возможно вывести то, что будет зарегистрированным путем осмотра iptables правил. Конкретно правила соответствия, которые регистрируются, могут быть фильтрованы как это sudo iptables -L | grep -i "log":

ufw-before-logging-input  all  --  anywhere             anywhere
ufw-after-logging-input  all  --  anywhere             anywhere
ufw-before-logging-forward  all  --  anywhere             anywhere
ufw-after-logging-forward  all  --  anywhere             anywhere
ufw-before-logging-output  all  --  anywhere             anywhere
ufw-after-logging-output  all  --  anywhere             anywhere
Chain ufw-after-logging-forward (1 references)
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warning prefix "[UFW BLOCK] "
Chain ufw-after-logging-input (1 references)
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warning prefix "[UFW ALLOW] "
Chain ufw-after-logging-output (1 references)
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warning prefix "[UFW ALLOW] "
ufw-logging-deny  all  --  anywhere             anywhere             ctstate INVALID
Chain ufw-before-logging-forward (1 references)
LOG        all  --  anywhere             anywhere             ctstate NEW limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT] "
Chain ufw-before-logging-input (1 references)
LOG        all  --  anywhere             anywhere             ctstate NEW limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT] "
Chain ufw-before-logging-output (1 references)
LOG        all  --  anywhere             anywhere             ctstate NEW limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT] "
Chain ufw-logging-allow (0 references)
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warning prefix "[UFW ALLOW] "
Chain ufw-logging-deny (2 references)
LOG        all  --  anywhere             anywhere             ctstate INVALID limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT INVALID] "
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warning prefix "[UFW BLOCK] "
ufw-logging-deny  all  --  anywhere             anywhere             limit: avg 3/min burst 10
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 5 LOG level warning prefix "[UFW LIMIT BLOCK] "
Chain ufw-user-logging-forward (0 references)
Chain ufw-user-logging-input (0 references)
Chain ufw-user-logging-output (1 references)

Это - по большей части правила по умолчанию. Осмотр вывода выше показывает ufw-before-* цепочки для генерации [АУДИТА UFW..] журналы.

Я не крупный эксперт по iptables, и руководство UFW не очень полезно на этом, но насколько я могу сказать, что правила, соответствующие этой цепочке, находятся в/etc/ufw/before.rules.

Например, строки ниже позволяют закольцованные соединения, которые, возможно, инициировали последние две строки в качестве примера в Вашем журнале (те запускающиеся с [АУДИТ UFW] IN=lo)

# rules.before
# ....
# allow all on loopback
-A ufw-before-input -i lo -j ACCEPT
-A ufw-before-output -o lo -j ACCEPT
# ....

Что касается моей части, я получаю много зарегистрированных пакетов LLMNR на порте 5353:

Mar 17 21:02:21 pc kernel: [133419.183616] [UFW AUDIT] IN=wlp2s0 OUT= MAC= SRC=192.168.1.2 DST=224.0.0.251 LEN=146 TOS=0x00 PREC=0x00 TTL=255 ID=22456 DF PROTO=UDP SPT=5353 DPT=5353 LEN=126

Который я думаю, вызываются следующим в rules.before:

# allow MULTICAST mDNS for service discovery (be sure the MULTICAST line above
# is uncommented)
-A ufw-before-input -p udp -d 224.0.0.251 --dport 5353 -j ACCEPT

Один способ деактивироваться они должны сделать, разжигают следующее:

sudo ufw deny 5353

jrg · Answer 1 · 28 May 2012 в 21:24

Установите для входа значение low, чтобы удалить сообщения AUDIT.

Цель AUDIT (из того, что я вижу) связана с ведением журналов не по умолчанию / не рекомендуется - однако это предположение, и я не могу найти ничего конкретного с этим.

edigu · Answer 2 · 28 May 2012 в 21:24

Это зависит от линии. Обычно это поле = значение.

Существует IN, OUT, входящий интерфейс или исходящий (или оба, для пакета, который только что передан.

Вот некоторые из них:

TOS , для Типа обслуживания
DST - это IP-адрес назначения,
SRC - это IP-источник
[ 1122] TTL - время жизни, маленький счетчик уменьшается каждый раз, когда пакет проходит через другой маршрутизатор (поэтому, если есть цикл, пакет уничтожается один раз до 0)

DF - это бит "не фрагментировать", запрашивающий пакет не быть фрагментированным при отправке

PROTO - это протокол (в основном TCP и UDP)

[ 1125] SPT - порт источника

DPT - порт назначения

и т. Д.

Вы должны взглянуть на Документация по TCP / UDP / IP, где все объясняется более детально, чем я когда-либо мог.

Давайте возьмем первый, это означает, что 176.58.105.134 отправил пакет UDP на порт 123 для 194.238.48.2 , Это для ntp. Поэтому я думаю, что кто-то пытается использовать ваш компьютер в качестве ntp-сервера, вероятно, по ошибке.
Что касается другой линии, это любопытно, это трафик через интерфейс обратной связи (lo), то есть он никуда не идет, он идет и приходит с вашего компьютера.

Я бы проверил, прослушивает ли что-нибудь порт TCP2 с помощью lsof или netstat.

Sebastian Müller · Answer 3 · 28 May 2012 в 21:24

Вдобавок к тому, что было сказано, также возможно вывести то, что будет зарегистрированным путем осмотра iptables правил. Конкретно правила соответствия, которые регистрируются, могут быть фильтрованы как это sudo iptables -L | grep -i "log":

ufw-before-logging-input  all  --  anywhere             anywhere
ufw-after-logging-input  all  --  anywhere             anywhere
ufw-before-logging-forward  all  --  anywhere             anywhere
ufw-after-logging-forward  all  --  anywhere             anywhere
ufw-before-logging-output  all  --  anywhere             anywhere
ufw-after-logging-output  all  --  anywhere             anywhere
Chain ufw-after-logging-forward (1 references)
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warning prefix "[UFW BLOCK] "
Chain ufw-after-logging-input (1 references)
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warning prefix "[UFW ALLOW] "
Chain ufw-after-logging-output (1 references)
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warning prefix "[UFW ALLOW] "
ufw-logging-deny  all  --  anywhere             anywhere             ctstate INVALID
Chain ufw-before-logging-forward (1 references)
LOG        all  --  anywhere             anywhere             ctstate NEW limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT] "
Chain ufw-before-logging-input (1 references)
LOG        all  --  anywhere             anywhere             ctstate NEW limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT] "
Chain ufw-before-logging-output (1 references)
LOG        all  --  anywhere             anywhere             ctstate NEW limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT] "
Chain ufw-logging-allow (0 references)
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warning prefix "[UFW ALLOW] "
Chain ufw-logging-deny (2 references)
LOG        all  --  anywhere             anywhere             ctstate INVALID limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT INVALID] "
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warning prefix "[UFW BLOCK] "
ufw-logging-deny  all  --  anywhere             anywhere             limit: avg 3/min burst 10
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 5 LOG level warning prefix "[UFW LIMIT BLOCK] "
Chain ufw-user-logging-forward (0 references)
Chain ufw-user-logging-input (0 references)
Chain ufw-user-logging-output (1 references)

Это - по большей части правила по умолчанию. Осмотр вывода выше показывает ufw-before-* цепочки для генерации [АУДИТА UFW..] журналы.

Я не крупный эксперт по iptables, и руководство UFW не очень полезно на этом, но насколько я могу сказать, что правила, соответствующие этой цепочке, находятся в/etc/ufw/before.rules.

Например, строки ниже позволяют закольцованные соединения, которые, возможно, инициировали последние две строки в качестве примера в Вашем журнале (те запускающиеся с [АУДИТ UFW] IN=lo)

# rules.before
# ....
# allow all on loopback
-A ufw-before-input -i lo -j ACCEPT
-A ufw-before-output -o lo -j ACCEPT
# ....

Что касается моей части, я получаю много зарегистрированных пакетов LLMNR на порте 5353:

Mar 17 21:02:21 pc kernel: [133419.183616] [UFW AUDIT] IN=wlp2s0 OUT= MAC= SRC=192.168.1.2 DST=224.0.0.251 LEN=146 TOS=0x00 PREC=0x00 TTL=255 ID=22456 DF PROTO=UDP SPT=5353 DPT=5353 LEN=126

Который я думаю, вызываются следующим в rules.before:

# allow MULTICAST mDNS for service discovery (be sure the MULTICAST line above
# is uncommented)
-A ufw-before-input -p udp -d 224.0.0.251 --dport 5353 -j ACCEPT

Один способ деактивироваться они должны сделать, разжигают следующее:

sudo ufw deny 5353

Что означают записи журнала аудита UFW?

3 ответа

Другие вопросы по тегам:

Похожие вопросы: