Supprimer le bloc UFW de kern.log et sys.log

11

Utilisation de Nginx, Wordpress et Ubuntu 16.

Je suis constamment bombardé de ces messages kern.log , syslog and ufw.log

Nov 28 21:02:28 kernel: [246817.450026] [UFW BLOCK] IN=eth0 OUT= MAC=xx.xx SRC=122.3.133.77 DST=xx.xx LEN=60 TOS=0x00 PREC=0x00 TTL=53 ID=22334 DF PROTO=TCP SPT=45750 DPT=23 WINDOW=5808 RES=0x00 SYN URGP=0 
Nov 28 21:02:31 kernel: [246820.443191] [UFW BLOCK] IN=eth0 OUT= MAC=xx.xx SRC=122.3.133.77 DST=xx.xx LEN=60 TOS=0x00 PREC=0x00 TTL=53 ID=22335 DF PROTO=TCP SPT=45750 DPT=23 WINDOW=5808 RES=0x00 SYN URGP=0 
Nov 28 21:02:33 kernel: [246822.448520] [UFW BLOCK] IN=eth0 OUT= MAC=xx.xx SRC=195.154.181.110 DST=xx.xx LEN=40 TOS=0x00 PREC=0x00 TTL=246 ID=6401 PROTO=TCP SPT=52845 DPT=8709 WINDOW=1024 RES=0x00 SYN URGP=0 
Nov 28 21:02:37 kernel: [246826.438721] [UFW BLOCK] IN=eth0 OUT= MAC=xx.xx SRC=122.3.133.77 DST=xx.xx LEN=60 TOS=0x00 PREC=0x00 TTL=53 ID=22336 DF PROTO=TCP SPT=45750 DPT=23 WINDOW=5808 RES=0x00 SYN URGP=0 
Nov 28 21:03:26 kernel: [246875.605969] [UFW BLOCK] IN=eth0 OUT= MAC=xx.xx SRC=89.163.146.88 DST=xx.xx LEN=444 TOS=0x00 PREC=0x00 TTL=59 ID=45590 DF PROTO=UDP SPT=5149 DPT=5060 LEN=424 
Nov 28 21:03:41 kernel: [246890.099144] [UFW BLOCK] IN=eth0 OUT= MAC=xx.xx SRC=82.81.171.85 DST=xx.xx LEN=44 TOS=0x00 PREC=0x00 TTL=56 ID=19683 PROTO=TCP SPT=63561 DPT=2323 WINDOW=58193 RES=0x00 SYN URGP=0 
Nov 28 21:03:46 kernel: [246895.517766] [UFW BLOCK] IN=eth0 OUT= MAC=xx.xx SRC=94.102.49.174 DST=xx.xx LEN=40 TOS=0x00 PREC=0x00 TTL=249 ID=2066 PROTO=TCP SPT=51511 DPT=8000 WINDOW=1024 RES=0x00 SYN URGP=0 
Nov 28 21:03:49 kernel: [246898.714239] [UFW BLOCK] IN=eth0 OUT= MAC=xx.xx SRC=61.240.144.65 DST=xx.xx LEN=40 TOS=0x00 PREC=0x00 TTL=236 ID=31567 PROTO=TCP SPT=46807 DPT=8009 WINDOW=1024 RES=0x00 SYN URGP=0 
Nov 28 21:04:14 kernel: [246923.959948] [UFW BLOCK] IN=eth0 OUT= MAC=xx.xx SRC=163.172.91.185 DST=xx.xx LEN=40 TOS=0x08 PREC=0x00 TTL=243 ID=54321 PROTO=TCP SPT=47175 DPT=22 WINDOW=65535 RES=0x00 SYN URGP=0 
Nov 28 21:04:31 kernel: [246940.250298] [UFW BLOCK] IN=eth0 OUT= MAC=xx.xx SRC=78.168.185.115 DST=xx.xx LEN=40 TOS=0x00 PREC=0x00 TTL=51 ID=62125 PROTO=TCP SPT=52008 DPT=7547 WINDOW=13555 RES=0x00 SYN URGP=0 
  1. Étant donné que ceux-ci sont déjà enregistrés dans ufw.log, comment puis-je les empêcher d'apparaître sur kern.log et syslog?

  2. Y a-t-il quelque chose que je dois faire pour empêcher ces attaques ou est-ce normal pour un serveur de faire l'expérience?

Joanna Mikalai
la source

Réponses:

13

L' option de configuration UFW active / désactive uniquement la journalisation (et spécifie également le niveau de journalisation personnalisé):

logging on|off|LEVEL

basculer la journalisation. Les paquets enregistrés utilisent la fonction LOG_KERNsyslog. Les systèmes configurés pour la rsyslog prise en charge peuvent également se connecter à /var/log/ufw.log. Spécification d'une LEVELconnexion se connecte pour le spécifié LEVEL. Le niveau de journal par défaut est low.

Si vous utilisez l'installation standard d'Ubuntu, vous avez une rsyslogdextension, qui peut être (et par défaut est) configurée pour générer ces fichiers journaux séparés.

Dans Ubuntu 16.04, la configuration de la journalisation UFW doit être dans /etc/rsyslog.d/20-ufw.conf:

# Log kernel generated UFW log messages to file
:msg,contains,"[UFW " /var/log/ufw.log

# Uncomment the following to stop logging anything that matches the last rule.
# Doing this will stop logging kernel generated UFW log messages to the file
# normally containing kern.* messages (eg, /var/log/kern.log)
#& ~

Comme le commentaire le décrit, vous devez simplement décommenter la dernière ligne. S'il n'y en a pas, ajoutez simplement & ~.

À l'inverse, la mise en commentaire de l'autre ligne de configuration entraîne la journalisation uniquement vers syslog/ kern.log.


2: L' utilisation d'un pare-feu pour bloquer les attaques, comme vous le faites déjà, est la bonne façon de gérer la situation.

Esa Jokinen
la source
2
Merci, cela a fonctionné pour moi! Juste une petite note que vous devez redémarrer rsyslog pour qu'il prenne effet: sudo service rsyslog restart
jacklin
Ma copie de 20-ufw.conf a une directive "& stop" à la place. Une différence significative? Il ne se connecte plus à syslog ou kern.log avec cela.
icelava