Je reçois parfois beaucoup de ces entrées du journal AUDIT dans
...
[UFW AUDIT] IN= OUT=eth0 SRC=176.58.105.134 DST=194.238.48.2 LEN=76 TOS=0x10 PREC=0x00 TTL=64 ID=32137 DF PROTO=UDP SPT=36231 DPT=123 LEN=56
[UFW ALLOW] IN= OUT=eth0 SRC=176.58.105.134 DST=194.238.48.2 LEN=76 TOS=0x10 PREC=0x00 TTL=64 ID=32137 DF PROTO=UDP SPT=36231 DPT=123 LEN=56
[UFW AUDIT] IN= OUT=lo SRC=192.168.192.254 DST=192.168.192.254 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=54579 DF PROTO=TCP SPT=59488 DPT=30002 WINDOW=32792 RES=0x00 SYN URGP=0
[UFW AUDIT] IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=192.168.192.254 DST=192.168.192.254 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=54579 DF PROTO=TCP SPT=59488 DPT=30002 WINDOW=32792 RES=0x00 SYN URGP=0
[UFW AUDIT] IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=192.168.192.254 DST=192.168.192.254 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=4319 DF PROTO=TCP SPT=59489 DPT=30002 WINDOW=32792 RES=0x00 SYN URGP=0
...
Qu'est-ce que cela veut dire? Quand surviennent-ils et pourquoi? Dois-je et puis-je désactiver ces entrées spécifiques? Je ne souhaite pas désactiver la journalisation UFW, mais je ne suis pas sûr que ces lignes soient utiles du tout.
Notez que cela ne se produit pas réellement dans /var/log/ufw.log
. Cela se produit uniquement dans /var/log/syslog
. pourquoi est-ce le cas?
Plus d'informations
Logging: on (medium)
Définissez votre consignation sur low
pour supprimer les messages AUDIT
name__.
Le but de AUDIT (d'après ce que je vois) est lié à la journalisation non recommandée par défaut/recommandée. Cependant, c'est une supposition, et je ne trouve rien de concret à cela.
Cela dépend de la ligne. Généralement, c'est Field = valeur.
Il y a IN, OUT, l'interface entrante ou sortante (ou les deux) pour les paquets qui viennent d'être relayés.
Quelques-uns d'entre eux sont:
etc.
Vous devriez jeter un coup d'œil à la documentation TCP/UDP/IP, où tout est expliqué de manière plus détaillée que possible.
Prenons le premier, cela signifie que 176.58.105.134 a envoyé un paquet UDP sur le port 123 pour 194.238.48.2. C'est pour ntp
. Donc, je suppose que quelqu'un essaie d'utiliser votre ordinateur en tant que serveur NTP, probablement par erreur.
Pour l’autre ligne, c’est curieux, c’est le trafic sur l’interface de bouclage (lo), c’est-à-dire que cela ne va nulle part, cela va et vient de votre ordinateur.
Je voudrais vérifier si quelque chose écoute sur le port TCP 30002 avec lsof
ou netstat
.
En plus de ce qui a été dit, il est également possible de déduire ce qui va être enregistré en inspectant les règles d'iptables . Plus précisément, les règles de correspondance consignées peuvent être filtrées comme suit: Sudo iptables -L | grep -i "log"
:
ufw-before-logging-input all -- anywhere anywhere
ufw-after-logging-input all -- anywhere anywhere
ufw-before-logging-forward all -- anywhere anywhere
ufw-after-logging-forward all -- anywhere anywhere
ufw-before-logging-output all -- anywhere anywhere
ufw-after-logging-output all -- anywhere anywhere
Chain ufw-after-logging-forward (1 references)
LOG all -- anywhere anywhere limit: avg 3/min burst 10 LOG level warning prefix "[UFW BLOCK] "
Chain ufw-after-logging-input (1 references)
LOG all -- anywhere anywhere limit: avg 3/min burst 10 LOG level warning prefix "[UFW ALLOW] "
Chain ufw-after-logging-output (1 references)
LOG all -- anywhere anywhere limit: avg 3/min burst 10 LOG level warning prefix "[UFW ALLOW] "
ufw-logging-deny all -- anywhere anywhere ctstate INVALID
Chain ufw-before-logging-forward (1 references)
LOG all -- anywhere anywhere ctstate NEW limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT] "
Chain ufw-before-logging-input (1 references)
LOG all -- anywhere anywhere ctstate NEW limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT] "
Chain ufw-before-logging-output (1 references)
LOG all -- anywhere anywhere ctstate NEW limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT] "
Chain ufw-logging-allow (0 references)
LOG all -- anywhere anywhere limit: avg 3/min burst 10 LOG level warning prefix "[UFW ALLOW] "
Chain ufw-logging-deny (2 references)
LOG all -- anywhere anywhere ctstate INVALID limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT INVALID] "
LOG all -- anywhere anywhere limit: avg 3/min burst 10 LOG level warning prefix "[UFW BLOCK] "
ufw-logging-deny all -- anywhere anywhere limit: avg 3/min burst 10
LOG all -- anywhere anywhere limit: avg 3/min burst 5 LOG level warning prefix "[UFW LIMIT BLOCK] "
Chain ufw-user-logging-forward (0 references)
Chain ufw-user-logging-input (0 references)
Chain ufw-user-logging-output (1 references)
Ce sont pour la plupart des règles par défaut. L'inspection de la sortie ci-dessus révèle que les chaînes ufw-before-*
permettent de générer des journaux [UFW AUDIT ..].
Je ne suis pas un grand expert sur iptables et le manuel UFW n’est pas très utile à cet égard, mais pour autant que je sache, des règles correspondant à cette chaîne sont affichées /etc/ufw/before.rules .
Par exemple, les lignes ci-dessous autorisent les connexions en boucle qui pourraient avoir déclenché les deux dernières lignes de votre journal (celles commençant par [UFW AUDIT] IN = lo).
# rules.before
# ....
# allow all on loopback
-A ufw-before-input -i lo -j ACCEPT
-A ufw-before-output -o lo -j ACCEPT
# ....
Quant à moi, je reçois beaucoup de paquets enregistrés LLMNR sur le port 5353:
Mar 17 21:02:21 pc kernel: [133419.183616] [UFW AUDIT] IN=wlp2s0 OUT= MAC= SRC=192.168.1.2 DST=224.0.0.251 LEN=146 TOS=0x00 PREC=0x00 TTL=255 ID=22456 DF PROTO=UDP SPT=5353 DPT=5353 LEN=126
Lesquels je pense sont causés par ce qui suit dans rules.before
:
# allow MULTICAST mDNS for service discovery (be sure the MULTICAST line above
# is uncommented)
-A ufw-before-input -p udp -d 224.0.0.251 --dport 5353 -j ACCEPT
Une façon de les désactiver consiste à lancer ce qui suit:
Sudo ufw deny 5353