kern.log 및 sys.log에서 UFW 차단 제거


11

Nginx, Wordpress 및 Ubuntu 16 사용

나는이 메시지들로 끊임없이 폭격을 당한다 kern.log , syslog and ufw.log

Nov 28 21:02:28 kernel: [246817.450026] [UFW BLOCK] IN=eth0 OUT= MAC=xx.xx SRC=122.3.133.77 DST=xx.xx LEN=60 TOS=0x00 PREC=0x00 TTL=53 ID=22334 DF PROTO=TCP SPT=45750 DPT=23 WINDOW=5808 RES=0x00 SYN URGP=0 
Nov 28 21:02:31 kernel: [246820.443191] [UFW BLOCK] IN=eth0 OUT= MAC=xx.xx SRC=122.3.133.77 DST=xx.xx LEN=60 TOS=0x00 PREC=0x00 TTL=53 ID=22335 DF PROTO=TCP SPT=45750 DPT=23 WINDOW=5808 RES=0x00 SYN URGP=0 
Nov 28 21:02:33 kernel: [246822.448520] [UFW BLOCK] IN=eth0 OUT= MAC=xx.xx SRC=195.154.181.110 DST=xx.xx LEN=40 TOS=0x00 PREC=0x00 TTL=246 ID=6401 PROTO=TCP SPT=52845 DPT=8709 WINDOW=1024 RES=0x00 SYN URGP=0 
Nov 28 21:02:37 kernel: [246826.438721] [UFW BLOCK] IN=eth0 OUT= MAC=xx.xx SRC=122.3.133.77 DST=xx.xx LEN=60 TOS=0x00 PREC=0x00 TTL=53 ID=22336 DF PROTO=TCP SPT=45750 DPT=23 WINDOW=5808 RES=0x00 SYN URGP=0 
Nov 28 21:03:26 kernel: [246875.605969] [UFW BLOCK] IN=eth0 OUT= MAC=xx.xx SRC=89.163.146.88 DST=xx.xx LEN=444 TOS=0x00 PREC=0x00 TTL=59 ID=45590 DF PROTO=UDP SPT=5149 DPT=5060 LEN=424 
Nov 28 21:03:41 kernel: [246890.099144] [UFW BLOCK] IN=eth0 OUT= MAC=xx.xx SRC=82.81.171.85 DST=xx.xx LEN=44 TOS=0x00 PREC=0x00 TTL=56 ID=19683 PROTO=TCP SPT=63561 DPT=2323 WINDOW=58193 RES=0x00 SYN URGP=0 
Nov 28 21:03:46 kernel: [246895.517766] [UFW BLOCK] IN=eth0 OUT= MAC=xx.xx SRC=94.102.49.174 DST=xx.xx LEN=40 TOS=0x00 PREC=0x00 TTL=249 ID=2066 PROTO=TCP SPT=51511 DPT=8000 WINDOW=1024 RES=0x00 SYN URGP=0 
Nov 28 21:03:49 kernel: [246898.714239] [UFW BLOCK] IN=eth0 OUT= MAC=xx.xx SRC=61.240.144.65 DST=xx.xx LEN=40 TOS=0x00 PREC=0x00 TTL=236 ID=31567 PROTO=TCP SPT=46807 DPT=8009 WINDOW=1024 RES=0x00 SYN URGP=0 
Nov 28 21:04:14 kernel: [246923.959948] [UFW BLOCK] IN=eth0 OUT= MAC=xx.xx SRC=163.172.91.185 DST=xx.xx LEN=40 TOS=0x08 PREC=0x00 TTL=243 ID=54321 PROTO=TCP SPT=47175 DPT=22 WINDOW=65535 RES=0x00 SYN URGP=0 
Nov 28 21:04:31 kernel: [246940.250298] [UFW BLOCK] IN=eth0 OUT= MAC=xx.xx SRC=78.168.185.115 DST=xx.xx LEN=40 TOS=0x00 PREC=0x00 TTL=51 ID=62125 PROTO=TCP SPT=52008 DPT=7547 WINDOW=13555 RES=0x00 SYN URGP=0 
  1. 이것들은 이미 ufw.log에 기록되어 있기 때문에 어떻게 kern.log와 syslog에 나타나지 않도록 할 수 있습니까?

  2. 이러한 공격을 막기 위해해야 ​​할 일이 있습니까, 아니면 서버가 경험하는 것이 정상입니까?

답변:


13

UFW 구성 옵션은 로깅 켜기 / 끄기 만 전환하고 사용자 지정 로깅 수준을 지정합니다.

logging on|off|LEVEL

토글 로깅. 기록 된 패킷은 LOG_KERNsyslog 기능을 사용합니다 . rsyslog 지원 하도록 구성된 시스템 에도 로그인 할 수 있습니다 /var/log/ufw.log. 지정 LEVEL하면 지정된에 대한 로깅이 설정됩니다 LEVEL. 기본 로그 수준은 low입니다.

표준 Ubuntu 설치를 사용하는 경우 이러한 분리 된 로그 파일을 생성 하도록rsyslogd 확장 가능하며 기본적으로 확장이 가능 합니다.

Ubuntu 16.04에서 UFW 로깅 구성은 다음과 같아야합니다 /etc/rsyslog.d/20-ufw.conf.

# Log kernel generated UFW log messages to file
:msg,contains,"[UFW " /var/log/ufw.log

# Uncomment the following to stop logging anything that matches the last rule.
# Doing this will stop logging kernel generated UFW log messages to the file
# normally containing kern.* messages (eg, /var/log/kern.log)
#& ~

주석에서 설명했듯이 마지막 행의 주석을 해제해야합니다. 없는 경우 추가하십시오 & ~.

반대로, 다른 구성 행을 주석 처리하면 syslog/ 로만 로깅됩니다 kern.log.


2 : 방화벽을 사용하여 공격을 차단하는 것은 상황을 처리하는 올바른 방법입니다.


2
고마워 이것은 나를 위해 일했다! 간단히 적용하려면 rsyslog를 다시 시작해야합니다. sudo service rsyslog restart
jacklin

내 20-ufw.conf 사본에는 "& stop"지시문이 있습니다. 큰 차이가 있습니까? 더 이상 syslog 또는 kern.log에 기록하지 않습니다.
icelava
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.