Was bedeuten die Audit Log-Einträge von UFW?

10

Ich erhalte manchmal eine Menge dieser AUDIT-Protokolleinträge in

...

[UFW AUDIT] IN= OUT=eth0 SRC=176.58.105.134 DST=194.238.48.2 LEN=76 TOS=0x10 PREC=0x00 TTL=64 ID=32137 DF PROTO=UDP SPT=36231 DPT=123 LEN=56
[UFW ALLOW] IN= OUT=eth0 SRC=176.58.105.134 DST=194.238.48.2 LEN=76 TOS=0x10 PREC=0x00 TTL=64 ID=32137 DF PROTO=UDP SPT=36231 DPT=123 LEN=56
[UFW AUDIT] IN= OUT=lo SRC=192.168.192.254 DST=192.168.192.254 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=54579 DF PROTO=TCP SPT=59488 DPT=30002 WINDOW=32792 RES=0x00 SYN URGP=0
[UFW AUDIT] IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=192.168.192.254 DST=192.168.192.254 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=54579 DF PROTO=TCP SPT=59488 DPT=30002 WINDOW=32792 RES=0x00 SYN URGP=0
[UFW AUDIT] IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=192.168.192.254 DST=192.168.192.254 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=4319 DF PROTO=TCP SPT=59489 DPT=30002 WINDOW=32792 RES=0x00 SYN URGP=0

...

Was bedeutet das? Wann treten sie auf und warum? Sollte und kann ich diese spezifischen Einträge deaktivieren? Ich möchte die UFW-Protokollierung nicht deaktivieren, aber ich bin mir nicht sicher, ob diese Zeilen überhaupt nützlich sind.

Beachten Sie, dass dies in /var/log/ufw.log nicht wirklich auftritt. Es tritt nur in /var/log/syslog auf. Warum ist das der Fall?

Weitere Informationen

  • Meine Protokollierung ist auf mittel eingestellt: Logging: on (medium)
Tom 28.05.2012, 19:24

3 Antworten

3

Setzen Sie Ihre Protokollierung auf low , um die AUDIT -Nachrichten zu entfernen.

Der Zweck von AUDIT (von dem, was ich sehe) bezieht sich auf die nicht standardmäßige / empfohlene Protokollierung - aber das ist eine Vermutung, und ich kann nichts Konkretes damit finden.

    
jrg 28.05.2012, 19:43
7

Das hängt von der Linie ab. Normalerweise ist es Field = Wert.

Es gibt IN, OUT, die eingehende Schnittstelle oder ausgehende (oder beide, für Pakete, die gerade weitergeleitet werden.

Einige von ihnen sind:

  • TOS , für Art des Dienstes,
  • DST ist Ziel-IP,
  • SRC ist Quell-IP
  • TTL ist die Zeit zu leben, ein kleiner Zähler dekrementiert jedes Mal, wenn ein Paket einen anderen Router passiert (wenn es also eine Schleife gibt, zerstört sich das Paket einmal auf 0)
  • DF ist das Bit "nicht fragmentieren" und fragt, dass das Paket beim Senden nicht fragmentiert wird
  • PROTO ist das Protokoll (meistens TCP und UDP)
  • SPT ist der Quellport
  • DPT ist der Zielport

usw.

Sie sollten sich die TCP / UDP / IP-Dokumentation ansehen, in der alles detaillierter erklärt wird, als ich es jemals könnte.

Nehmen wir die erste, das bedeutet, dass 176.58.105.134 ein UDP-Paket an Port 123 für 194.238.48.2 gesendet hat. Das ist für ntp . Ich nehme an, jemand versucht, Ihren Computer wahrscheinlich als Fehler zu verwenden.

Für die andere Zeile ist das merkwürdig, das ist der Verkehr auf der Loopback-Schnittstelle (lo), dh das geht nirgendwohin, es geht und kommt von Ihrem Computer.

Ich würde überprüfen, ob etwas auf tcp port 30002 mit lsof oder netstat hört.

    
Misc 28.05.2012 19:45
1

Zusätzlich zu dem, was gesagt wurde, ist es auch möglich, durch Prüfen der iptables -Regeln abzuleiten, was protokolliert werden soll. Insbesondere können die Übereinstimmungsregeln, die protokolliert werden, wie folgt gefiltert werden: sudo iptables -L | grep -i "log" :

ufw-before-logging-input  all  --  anywhere             anywhere
ufw-after-logging-input  all  --  anywhere             anywhere
ufw-before-logging-forward  all  --  anywhere             anywhere
ufw-after-logging-forward  all  --  anywhere             anywhere
ufw-before-logging-output  all  --  anywhere             anywhere
ufw-after-logging-output  all  --  anywhere             anywhere
Chain ufw-after-logging-forward (1 references)
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warning prefix "[UFW BLOCK] "
Chain ufw-after-logging-input (1 references)
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warning prefix "[UFW ALLOW] "
Chain ufw-after-logging-output (1 references)
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warning prefix "[UFW ALLOW] "
ufw-logging-deny  all  --  anywhere             anywhere             ctstate INVALID
Chain ufw-before-logging-forward (1 references)
LOG        all  --  anywhere             anywhere             ctstate NEW limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT] "
Chain ufw-before-logging-input (1 references)
LOG        all  --  anywhere             anywhere             ctstate NEW limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT] "
Chain ufw-before-logging-output (1 references)
LOG        all  --  anywhere             anywhere             ctstate NEW limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT] "
Chain ufw-logging-allow (0 references)
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warning prefix "[UFW ALLOW] "
Chain ufw-logging-deny (2 references)
LOG        all  --  anywhere             anywhere             ctstate INVALID limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT INVALID] "
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warning prefix "[UFW BLOCK] "
ufw-logging-deny  all  --  anywhere             anywhere             limit: avg 3/min burst 10
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 5 LOG level warning prefix "[UFW LIMIT BLOCK] "
Chain ufw-user-logging-forward (0 references)
Chain ufw-user-logging-input (0 references)
Chain ufw-user-logging-output (1 references)

Das sind größtenteils Standardregeln. Wenn Sie die obige Ausgabe überprüfen, werden die ufw-before-* -Ketten zum Generieren von [UFW AUDIT ..] -Protokollen angezeigt.

Ich bin kein großer Experte für iptables und das UFW-Handbuch ist nicht sehr hilfreich dabei, aber soweit ich sagen kann, Regeln, die dieser Kette entsprechen, sitzen in / etc / ufw / before.rules .

Zum Beispiel erlauben die folgenden Zeilen Loopback-Verbindungen, die möglicherweise die letzten beiden Beispielzeilen in Ihrem Protokoll ausgelöst haben (diejenigen, die mit [UFW AUDIT] IN = lo) beginnen

# rules.before
# ....
# allow all on loopback
-A ufw-before-input -i lo -j ACCEPT
-A ufw-before-output -o lo -j ACCEPT
# ....

Was meinen Teil angeht, bekomme ich viele geloggte LLMNR Pakete auf Port 5353:

Mar 17 21:02:21 pc kernel: [133419.183616] [UFW AUDIT] IN=wlp2s0 OUT= MAC= SRC=192.168.1.2 DST=224.0.0.251 LEN=146 TOS=0x00 PREC=0x00 TTL=255 ID=22456 DF PROTO=UDP SPT=5353 DPT=5353 LEN=126 

Was ich denke, sind folgende in rules.before :

# allow MULTICAST mDNS for service discovery (be sure the MULTICAST line above
# is uncommented)
-A ufw-before-input -p udp -d 224.0.0.251 --dport 5353 -j ACCEPT

Eine Möglichkeit, diese zu deaktivieren, ist folgendes:

sudo ufw deny 5353
    
Sebastian Müller 18.03.2018 18:08

Tags und Links