Remover Bloco UFW de kern.log e sys.log

Question

Remover Bloco UFW de kern.log e sys.log

#1 resposta do (5 votos)

4

Usando o Nginx, Wordpress e Ubuntu 16.

Eu sou constantemente bombardeado com essas mensagens em kern.log , syslog and ufw.log

Nov 28 21:02:28 kernel: [246817.450026] [UFW BLOCK] IN=eth0 OUT= MAC=xx.xx SRC=122.3.133.77 DST=xx.xx LEN=60 TOS=0x00 PREC=0x00 TTL=53 ID=22334 DF PROTO=TCP SPT=45750 DPT=23 WINDOW=5808 RES=0x00 SYN URGP=0 
Nov 28 21:02:31 kernel: [246820.443191] [UFW BLOCK] IN=eth0 OUT= MAC=xx.xx SRC=122.3.133.77 DST=xx.xx LEN=60 TOS=0x00 PREC=0x00 TTL=53 ID=22335 DF PROTO=TCP SPT=45750 DPT=23 WINDOW=5808 RES=0x00 SYN URGP=0 
Nov 28 21:02:33 kernel: [246822.448520] [UFW BLOCK] IN=eth0 OUT= MAC=xx.xx SRC=195.154.181.110 DST=xx.xx LEN=40 TOS=0x00 PREC=0x00 TTL=246 ID=6401 PROTO=TCP SPT=52845 DPT=8709 WINDOW=1024 RES=0x00 SYN URGP=0 
Nov 28 21:02:37 kernel: [246826.438721] [UFW BLOCK] IN=eth0 OUT= MAC=xx.xx SRC=122.3.133.77 DST=xx.xx LEN=60 TOS=0x00 PREC=0x00 TTL=53 ID=22336 DF PROTO=TCP SPT=45750 DPT=23 WINDOW=5808 RES=0x00 SYN URGP=0 
Nov 28 21:03:26 kernel: [246875.605969] [UFW BLOCK] IN=eth0 OUT= MAC=xx.xx SRC=89.163.146.88 DST=xx.xx LEN=444 TOS=0x00 PREC=0x00 TTL=59 ID=45590 DF PROTO=UDP SPT=5149 DPT=5060 LEN=424 
Nov 28 21:03:41 kernel: [246890.099144] [UFW BLOCK] IN=eth0 OUT= MAC=xx.xx SRC=82.81.171.85 DST=xx.xx LEN=44 TOS=0x00 PREC=0x00 TTL=56 ID=19683 PROTO=TCP SPT=63561 DPT=2323 WINDOW=58193 RES=0x00 SYN URGP=0 
Nov 28 21:03:46 kernel: [246895.517766] [UFW BLOCK] IN=eth0 OUT= MAC=xx.xx SRC=94.102.49.174 DST=xx.xx LEN=40 TOS=0x00 PREC=0x00 TTL=249 ID=2066 PROTO=TCP SPT=51511 DPT=8000 WINDOW=1024 RES=0x00 SYN URGP=0 
Nov 28 21:03:49 kernel: [246898.714239] [UFW BLOCK] IN=eth0 OUT= MAC=xx.xx SRC=61.240.144.65 DST=xx.xx LEN=40 TOS=0x00 PREC=0x00 TTL=236 ID=31567 PROTO=TCP SPT=46807 DPT=8009 WINDOW=1024 RES=0x00 SYN URGP=0 
Nov 28 21:04:14 kernel: [246923.959948] [UFW BLOCK] IN=eth0 OUT= MAC=xx.xx SRC=163.172.91.185 DST=xx.xx LEN=40 TOS=0x08 PREC=0x00 TTL=243 ID=54321 PROTO=TCP SPT=47175 DPT=22 WINDOW=65535 RES=0x00 SYN URGP=0 
Nov 28 21:04:31 kernel: [246940.250298] [UFW BLOCK] IN=eth0 OUT= MAC=xx.xx SRC=78.168.185.115 DST=xx.xx LEN=40 TOS=0x00 PREC=0x00 TTL=51 ID=62125 PROTO=TCP SPT=52008 DPT=7547 WINDOW=13555 RES=0x00 SYN URGP=0

Como esses já estão registrados no ufw.log, como posso impedi-los de aparecer no kern.log e no syslog?
Há algo que devo fazer para evitar esses ataques ou isso é normal para um servidor experimentar?

logging syslog ufw

por Joanna Mikalai 28.11.2016 / 22:09

1 resposta

Tags logging syslog ufw

Filtrando AMI pelo nome usando aws-cli ldap_result: Não é possível contatar o servidor LDAP (-1)

score 5 · Answer 1

A opção de configuração

UFW apenas ativa / desativa a criação de log (e, alternativamente, especifica o nível de criação de log personalizado):

logging on|off|LEVEL

toggle logging. Logged packets use the LOG_KERN syslog facility. Systems configured for rsyslog support may also log to /var/log/ufw.log. Specifying a LEVEL turns logging on for the specified LEVEL. The default log level is low.

Se você está usando a instalação padrão do Ubuntu, você tem rsyslogd extension, que pode ser (e por padrão é) configurado para gerar esses arquivos de log separados.

No Ubuntu 16.04, a configuração de log do UFW deve estar em /etc/rsyslog.d/20-ufw.conf :

# Log kernel generated UFW log messages to file
:msg,contains,"[UFW " /var/log/ufw.log

# Uncomment the following to stop logging anything that matches the last rule.
# Doing this will stop logging kernel generated UFW log messages to the file
# normally containing kern.* messages (eg, /var/log/kern.log)
#& ~

Como o comentário descreve, você deve apenas descomentar a última linha. Se não houver, basta adicionar & ~ .

Ao contrário, comentar a outra linha de configuração faz com que o log seja feito apenas para syslog / kern.log .

2: Usar um firewall para bloquear ataques, como você já faz, é a maneira correta de lidar com a situação.