为什么我的系统日志中出现[UFW BLOCK]的信息？

Question

为什么我的系统日志中出现[UFW BLOCK]的信息？

37

我想知道为什么我的系统日志会出现这个错误：

[7732763.396193] [UFW BLOCK] IN=eth0 OUT= MAC=02:8b:1a:75:d5:7b:02:8b:1a:40:00:03:08:00 SRC=x.x.x.x DST=x.x.x.x LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=53703 DF PROTO=TCP SPT=35651 DPT=8443 WINDOW=457 RES=0x00 ACK RST URGP=0

我刚刚启用了ufw。这个错误意味着出了什么问题吗？

- batman

2个回答

1

如果你运行：

$ tail -1 /etc/rsyslog.d/20-ufw.conf
#& stop

这个#& stop表示你正在登录syslog。

Teo，我该怎么停止它？

嗯，你只需要运行这个命令来停止登录到syslog：

sudo sed '/#& stop/s/^#//' -i /etc/rsyslog.d/20-ufw.conf
sudo service rsyslog restart

这个命令只是取消注释文件/etc/rsyslog.d/20-ufw.conf中第一个匹配模式#& stop的行。在这种情况下，我们使用tail -1来打印文件的最后一行，也就是为什么我们要使用它。

现在进行验证：

$ tail -1 /etc/rsyslog.d/20-ufw.conf
& stop

或者只是：

tail -f /var/log/syslog

- Teocci

- pgschk · Accepted Answer

34

嗯，这意味着ufw阻止了从SRC到DST的TCP端口8443的连接。除非您希望此连接成功，否则这并不是一件坏事。

8443端口主要用于网络服务，例如VMware ESXi或某些（HTTPS）应用服务器。

您可以通过输入“sudo netstat -tulpen | grep 8443”来检查您的设备是否在该端口上运行任何服务。

- pgschk

3我该如何阻止这个被放入syslog文件中？ - batman

@蝙蝠侠在终端中输入 man ufw。向下滚动至 LOGGING。 - NRoach44

7你应该能够通过 sudo ufw logging off 命令来禁用日志记录。 - pgschk

17不要完全禁用ufw日志记录，最好只是停止将日志记录到syslog中。 - HRJ

我刚刚注意到了同样的事情。有很多不同的IP地址尝试连接似乎是随机的端口。它们的频率可能是每秒钟一次，甚至更短。在另一个设备和网络上，我尝试在浏览器中输入其中一个“SRC” IP地址，结果显示“X.X.X.X拒绝连接”。因此，我得出结论，这些服务器正在主动发起连接，但已经阻止了所有的入站连接。这些服务器是在随机尝试运气以获取访问权限或收集信息吗？...这是我第一次在管理服务器时遇到安全问题。很高兴我启用了“ufw”。 - user72056

你还可以通过将你想要允许连接的IP地址加入白名单，并将其他所有IP地址拒绝作为最后一条规则来停止记录日志。请参考https://askubuntu.com/a/1383632/1179344。 - ferdymercury