服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 从kern.log和sys.log中删除UFW块
Intereting Posts
Dell PowerConnect 5324上的重置button replace脱机文件 closureselasticsearch完全? php-fpm向nginx返回空的响应 无法向会话状态服务器发出会话状态请求 我如何能够拍摄CentOS 5服务器的快照并稍后进行比较? Windows 7安装位置 在PowerShell脚本中,如何检查我是否以pipe理员权限运行? 远程JMX连接发送到本地主机 最佳实践? Amazon EBS上的MySQL中的消费者数据(弹性块存储) Ubuntu 14.04中默认的Apache版本是否安全? 智能卡S / MIME与Exchange 2013 AWS Elastic Beanstalk PHP7.1 如何授予WMSvc IIS的文件夹权限 高级上下文切换SQL Server框上

从kern.log和sys.log中删除UFW块

使用Nginx,Wordpress和Ubuntu 16。

我经常在kern.log , syslog and ufw.log中用这些消息轰炸 

 Nov 28 21:02:28 kernel: [246817.450026] [UFW BLOCK] IN=eth0 OUT= MAC=xx.xx SRC=122.3.133.77 DST=xx.xx LEN=60 TOS=0x00 PREC=0x00 TTL=53 ID=22334 DF PROTO=TCP SPT=45750 DPT=23 WINDOW=5808 RES=0x00 SYN URGP=0 Nov 28 21:02:31 kernel: [246820.443191] [UFW BLOCK] IN=eth0 OUT= MAC=xx.xx SRC=122.3.133.77 DST=xx.xx LEN=60 TOS=0x00 PREC=0x00 TTL=53 ID=22335 DF PROTO=TCP SPT=45750 DPT=23 WINDOW=5808 RES=0x00 SYN URGP=0 Nov 28 21:02:33 kernel: [246822.448520] [UFW BLOCK] IN=eth0 OUT= MAC=xx.xx SRC=195.154.181.110 DST=xx.xx LEN=40 TOS=0x00 PREC=0x00 TTL=246 ID=6401 PROTO=TCP SPT=52845 DPT=8709 WINDOW=1024 RES=0x00 SYN URGP=0 Nov 28 21:02:37 kernel: [246826.438721] [UFW BLOCK] IN=eth0 OUT= MAC=xx.xx SRC=122.3.133.77 DST=xx.xx LEN=60 TOS=0x00 PREC=0x00 TTL=53 ID=22336 DF PROTO=TCP SPT=45750 DPT=23 WINDOW=5808 RES=0x00 SYN URGP=0 Nov 28 21:03:26 kernel: [246875.605969] [UFW BLOCK] IN=eth0 OUT= MAC=xx.xx SRC=89.163.146.88 DST=xx.xx LEN=444 TOS=0x00 PREC=0x00 TTL=59 ID=45590 DF PROTO=UDP SPT=5149 DPT=5060 LEN=424 Nov 28 21:03:41 kernel: [246890.099144] [UFW BLOCK] IN=eth0 OUT= MAC=xx.xx SRC=82.81.171.85 DST=xx.xx LEN=44 TOS=0x00 PREC=0x00 TTL=56 ID=19683 PROTO=TCP SPT=63561 DPT=2323 WINDOW=58193 RES=0x00 SYN URGP=0 Nov 28 21:03:46 kernel: [246895.517766] [UFW BLOCK] IN=eth0 OUT= MAC=xx.xx SRC=94.102.49.174 DST=xx.xx LEN=40 TOS=0x00 PREC=0x00 TTL=249 ID=2066 PROTO=TCP SPT=51511 DPT=8000 WINDOW=1024 RES=0x00 SYN URGP=0 Nov 28 21:03:49 kernel: [246898.714239] [UFW BLOCK] IN=eth0 OUT= MAC=xx.xx SRC=61.240.144.65 DST=xx.xx LEN=40 TOS=0x00 PREC=0x00 TTL=236 ID=31567 PROTO=TCP SPT=46807 DPT=8009 WINDOW=1024 RES=0x00 SYN URGP=0 Nov 28 21:04:14 kernel: [246923.959948] [UFW BLOCK] IN=eth0 OUT= MAC=xx.xx SRC=163.172.91.185 DST=xx.xx LEN=40 TOS=0x08 PREC=0x00 TTL=243 ID=54321 PROTO=TCP SPT=47175 DPT=22 WINDOW=65535 RES=0x00 SYN URGP=0 Nov 28 21:04:31 kernel: [246940.250298] [UFW BLOCK] IN=eth0 OUT= MAC=xx.xx SRC=78.168.185.115 DST=xx.xx LEN=40 TOS=0x00 PREC=0x00 TTL=51 ID=62125 PROTO=TCP SPT=52008 DPT=7547 WINDOW=13555 RES=0x00 SYN URGP=0

  1. 由于这些已经logging在ufw.log我怎么能阻止他们出现在kern.log和系统日志?

  2. 有什么我必须做的,以防止这些攻击或这是正常的服务器体验?

UFWconfiguration选项仅打开/closures日志logging(并指定自定义日志logging级别):

logging on|off|LEVEL

切换日志。 logging的数据包使用LOG_KERN syslog工具。 为rsyslog支持configuration的系统也可以logging到/var/log/ufw.log 。 指定LEVEL会为指定的LEVEL打开login。 缺省日志级别low

如果您使用的是标准的Ubuntu安装,那么您有rsyslogd扩展名,它可以(并且默认为)被configuration为生成这些分离的日志文件。

在Ubuntu 16.04中,UFW日志configuration应该在/etc/rsyslog.d/20-ufw.conf

 # Log kernel generated UFW log messages to file :msg,contains,"[UFW " /var/log/ufw.log # Uncomment the following to stop logging anything that matches the last rule. # Doing this will stop logging kernel generated UFW log messages to the file # normally containing kern.* messages (eg, /var/log/kern.log) #& ~

正如评论所述,你应该取消注释最后一行。 如果没有,只需添加& ~

相反,注释掉其他configuration行会导致仅logging到syslog / kern.log

2:使用防火墙阻止攻击,正如你已经做的那样,是处理这种情况的正确方法。