В этом руководстве объясняется, как включить ведение журналов UFW (Uncomplicated Firewall) и как читать журналы. Брандмауэр очень важен для поддержания безопасности в системах linux.
Прочитав это руководство, вы будете знать, как найти и прочитать журналы UFW.
Просмотр журналов работы UFW
Для начала вы можете включить UFW с опцией status verbose, чтобы проверить, включено или отключено ведение журнала.
Выполните приведенную ниже команду:
1 | sudo ufw status verbose |
Как вы можете видеть, ведение журнала отключено (off). Чтобы включить ведение журнала на UFW, выполните приведенную ниже команду:
1 | sudo ufw logging on |
Если вы хотите перепроверить это, выполните команду ufw status verbose еще раз, как показано ниже:
1 | sudo ufw status verbose |
Как вы видите, ведение журнала включено, а между скобками написано (низкий). Это потому, что существует пять различных уровней ведения журнала:
- Off: Не ведется журнал.
- On (low): Ведет журнал всех заблокированных или разрешенных пакетов в соответствии с заданными политиками.
- On (medium): То же, что и выше, и дополнительно включает пакеты, не соответствующие политикам.
- On (High): Заносит в журнал все пакеты с ограничением скорости и без ограничения скорости.
- On (Full): Регистрирует все пакеты без ограничения скорости.
Например, если вы хотите изменить уровень протоколирования на средний, вы можете выполнить следующую команду.
1 | sudo ufw logging medium |
В приведенной выше команде замените medium на другое значение для другого уровня ведения журнала.
Обычно журналы хранятся в каталоге /var/log/, и UFW не является исключением. Чтобы увидеть доступные журналы UFW, вы можете использовать команду ls и a для реализации подстановочного знака, как показано в следующем примере.
1 | sudo ls /var/log/ufw* |
Как вы можете видеть, существует несколько журналов UFW. Давайте посмотрим, как их читать и интерпретировать.
Для того чтобы журнал UFW работал, rsyslog должен быть включен.
1 2 3 | sudo apt install rsyslog sudo systemctl enable rsyslog sudo systemctl start rsyslog |
Чтобы просто прочитать все журналы без параметров, вы можете выполнить команду:
1 | sudo less /var/log/ufw* |
Как вы можете видеть, здесь много полей, и в следующем списке приведено значение каждого поля.
- IN= Это поле показывает устройство для входящего трафика.
- OUT= Это поле показывает устройство для исходящего трафика.
- MAC= В этом поле отображается MAC-адрес устройства.
- SRC= В этом поле отображается IP-адрес источника соединения.
- DST= В этом поле отображается IP-адрес назначения соединения.
- LEN= В этом поле отображается длина пакета.
- TOS= (Type of Service) Это поле используется для классификации пакетов и является устаревшим.
- PREC= Это поле показывает тип обслуживания Precedence.
- TTL= В этом поле отображается время жизни.
- ID= Это поле показывает уникальный ID для IP-датаграммы, который разделяется фрагментами одного и того же пакета.
- PROTO= В этом поле отображается используемый протокол.
Чтобы прочитать последние записи журнала, выполните следующую команду:
1 | sudo tail -f /var/log/ufw.log |
Новые поля SPT и DPT, которые не были описаны ранее, показывают порты источника и назначения.
Другой командой для чтения журналов UFW с помощью grep будет:
1 | sudo grep -i ufw /var/log/syslog |
Или следующая команда:
1 | sudo grep -i ufw /var/log/messages |
Вы также можете выполнить:
1 | sudo grep -i ufw /var/log/kern.log |
Заключение
UFW является самым простым CLI интерфейсом брандмауэра для Iptables. Его использование даже быстрее и проще, чем использование любого другого брандмауэра, включая программы с графическим интерфейсом. Некоторые пользователи игнорируют функцию протоколирования, а она должна быть включена и правильно настроена, чтобы получать корректные журналы из UFW. Также важно помнить, что для работы этой функции должен быть включен rsyslog.
Как вы видите, UFW позволяет нам управлять уровнем многословия и предоставляет очень подробный отчет о соединениях. UFW - это отличный инструмент для не продвинутых пользователей, позволяющий контролировать сетевой трафик и защищать свою систему путем внедрения правил или действий с помощью простого синтаксиса. Обучение работе с этим интерфейсом Iptables - отличный способ ввести новых пользователей в мир брандмауэров, прежде чем они пройдут через Iptables и Netfilter. UFW имеет простой интерфейс GUI (GUFW) для применения правил и действий и управления вашим брандмауэром, несмотря на то, что версия CLI еще проще в использовании для любого уровня пользователя Linux.
Я надеюсь, что это руководство, объясняющее, как проверить журналы UFW, было полезным.