Que mensagens UFW podem ser verificadas com segurança?

Navegue suas respostas
3

Logcheck atualmente envia muitos e-mails com mensagens como esta 

Jun  6 19:31:44 <hostname> kernel: [UFW BLOCK] IN=eth0 OUT= MAC=<mac-address> SRC=<source-ip> DST=<destination-ip> LEN=40 TOS=0x00 PREC=0x00 TTL=116 ID=28729 DF PROTO=TCP SPT=56681 DPT=80 WINDOW=16652 RES=0x00 ACK FIN URGP=0

De acordo com este Q & A este pacote está bloqueado porque é opcional.

É razoável ter o seguinte /etc/logcheck/ignore.d.server/ufw 

^\w{3} [ :[:digit:]]{11} [._[:alnum:]-]+ kernel: \[UFW BLOCK\].*ACK FIN.*
    
por Enrico 07.06.2013 / 05:12

2 respostas

3

Na minha opinião pessoal, o logcheck é inútil e deve ser desabilitado (a relação sinal-ruído é tão baixa, e o trabalho necessário para desligá-lo é tão extenso que é melhor matá-lo).

Se você não compartilha essa opinião, geralmente você pode ignorar todas mensagens do ufw.
(Seu padrão de ignorar certamente parece razoável para mim.)

Você não precisa ser notificado de que seu firewall está descartando tráfego.
Se você está tendo problemas com as comunicações de rede, você deve ser inteligente o suficiente para ver os logs do firewall. Além disso, você deve testar seu firewall ao configurá-lo para garantir que ele permita que o que você disser e deixe tudo de lado. Monitorar seus logs depois disso é realmente supérfluo.

    
por 07.06.2013 / 05:41
1

Seu problema aqui provavelmente não é o logcheck, mas que você tenha o log ativado no ufw (desative-o com sudo ufw logging off ).

Acho que é mais apropriado alternar o login quando estiver depurando (por exemplo, durante a configuração inicial do ufw e se você encontrar um problema) e, em seguida, desativá-lo em todos os momentos para obter desempenho e simplicidade. Portanto, não é um problema com o logcheck, apenas um problema com um tipo específico de log sendo ativado.

    
por 01.07.2013 / 21:15

Tags

RDP ou VNC um único aplicativo Imagem do Windows Azure Centos: não é possível atualizar para 6.4