Existe uma maneira de manter o UFW desconectando do dmesg?

23

Existem comentários no /etc/rsyslog.d/20-ufw.confarquivo que oferecem a opção de impedir que os eventos UFW sejam registrados no kernel e nos logs de mensagens, o que eu fiz.

Eu realmente gostaria de tirar os eventos da UFW dmesgtambém, mas como fazer isso?

ufw rsyslog 3dinfluence
fonte
4
Como solução, por enquanto, eu acabei de criar um alias dmesg com dmesg | grep -v UFW.
3dinfluence
Erros relacionados no Launchpad: 1264621 e 1475676 .
Pablo Bianchi

Respostas:

21

Você pode desativar o log do UFW com o seguinte comando no shell:

sudo ufw logging off

O nível de log padrão é baixo . Na página de manual da UFW :

  • off desativa o log gerenciado ufw
  • baixo registra todos os pacotes bloqueados que não correspondem à política padrão (com limite de taxa), bem como pacotes que correspondem às regras registradas
  • nível médio de log baixo, além de todos os pacotes permitidos que não correspondem à política padrão, todos os pacotes INVALID e todas as novas conexões. Todo o registro é feito com limitação de taxa.
  • alto nível de log médio (sem limite de taxa), além de todos os pacotes com limite de taxa
  • nível de log completo alto sem limitar a taxa

Você pode obter o nível de log atual com sudo ufw status verbose.

Mika Vatanen
fonte
7

Eu fiz uma investigação sobre esse problema.

Não acredito que haja uma maneira de contornar isso.

O dmesgcomando imprime diretamente o conteúdo do Kernel Ring Buffer. Isso contém todas as entradas de log do ufw que você está vendo.

O /etc/rsyslog.d/20-ufw.confarquivo informa ao rsyslog qual das entradas ufw no Kernel Ring Buffer deve ser registrada no /var/log/ufw.logou /var/log/kern.log.

Você pode impedir que as entradas do ufw sejam registradas /var/log/kern.log(para remover a duplicação) descomentando a linha /etc/rsyslog.d/20-ufw.confque contém & ~.

Infelizmente, não há como impedir que o dmesgcomando exiba essas mensagens. Seu trabalho é o melhor que posso apresentar.

Chris Woollard
fonte
Chris, obrigado por investigar isso. +1 para o esforço. Por enquanto, vou deixar a pergunta sem resposta, para ver se mais alguém tem alguma idéia. Talvez não haja solução para isso e eu arquivarei um bug na barra de ativação, pois tenho certeza de que outras pessoas gostam de ficar de olho no dmesg para garantir que não haja problemas de hardware no servidor e não se importem em ver as entradas UFW.
3dinfluence
Apenas para acompanhar os relatórios de erros mencionados: (arquivado) os erros Debian # 664748 e Launchpad # 555852 agora parecem rastrear esse problema.
Jani Uusitalo
4

Para pessoas que gostariam de ajustar o nível de log ainda mais, sugiro usar regras 'log' ou rejeitar / negar (consulte a ufwpágina de manual para obter detalhes). Por exemplo, você pode usar 'logoff' e inserir regras de log explícitas para o que deseja registrar. Como alternativa, você pode usar 'logging low' e inserir regras explícitas de negação / rejeição para negar silenciosamente as correspondências que, de outra forma, seriam registradas.

Anuser
fonte
1

Você também pode usar o grep para filtrar as mensagens UFW. Por exemplo,

dmesg | grep -v UFW

Dessa forma, você também pode manter o registro para revisão.

carmichel
fonte
Isso é pouco útil, porque em qualquer servidor real voltado para a Internet não há mais nada em nenhum registro além das mensagens UFW.
Antti Haapala
1

A resposta acima é a única maneira:

    dmesg | grep -v UFW

Mas você pode usar isso mais facilmente, definindo um alias como este:

    alias dmesg='dmesg | grep -v UFW'

Isso será executado dmesg | grep -v UFWse você digitar dmesg.

Se você deseja manter a versão colorida do dmesg, pode usar o seguinte comando:

    alias dmesg='dmesg --color=always | grep -v UFW --color=always'

Dessa forma, dmesguse cores sobre o tubo também.

ATENÇÃO! Use esse método apenas ao visualizar logs e procurar por algo, pois isso pode interromper alguns scripts de terceiros nessa sessão.

Matthew Friday
fonte