【ufw denyのログが出力されない!?】Ubuntu 20.0.4 LTS ufwのデフォルトログレベルは、lowです。

mieruka.link読者の皆様こんにちは!

管理人の伊集院です。

Surfaceを使い始めた管理人は、thinkpad x250を持て余していたのですが、使っていたSSDを家の棚に保管し新しいSSDを設置、Ubuntu 20.0.4 LTSを新しくインストールして使っています。

これからは、Ubuntu 20.0.4 Desktopのヘビーユーザーになるために、常にこのthinkpad x250でブログを更新しようと決意した次第でございます。

最近読んでいる本で、ファイアーウォールを熱く語っているものがありましたのでufwの動作を確認しようとssh deny/allowを繰り返しログを確認しておりました。

ufwのログは、/var/log/ufw.log に保存されているのですが、sshを拒否したログが出力されません・・・

ufwのmanページを確認します。

logging on|off|LEVEL
toggle logging. Logged packets use the LOG_KERN syslog facility. Systems configured for rsyslog  support  may  also  log  to /var/log/ufw.log.  Specifying a LEVEL turns logging on for the specified LEVEL. The default log level is 'low'.  See LOGGING for details.

なるほど、デフォルトはlowであると。これがdenyログが表示されない理由と考え、ログレベルを一段上げてmidiumに変更します。

変更後、再びsshでアクセスし拒否されることを確認。ログを表示します。
mieruka@ThinkPad-X250:/var/log$ sudo cat ufw.log | grep "192.168.1.17"
Aug  7 13:23:41 chiyotsu-ThinkPad-X250 kernel: [1068491.295770] [UFW AUDIT] IN=wlp3s0 OUT= MAC=dc:53:60:48:b4:1c:a0:36:9f:7f:f9:8c:08:00 SRC=192.168.1.17 DST=192.168.1.5 LEN=52 TOS=0x00 PREC=0x00 TTL=128 ID=57301 DF PROTO=TCP SPT=1041 DPT=22 WINDOW=64240 RES=0x00 SYN URGP=0 
Aug  7 13:23:42 chiyotsu-ThinkPad-X250 kernel: [1068492.299388] [UFW AUDIT] IN=wlp3s0 OUT= MAC=dc:53:60:48:b4:1c:a0:36:9f:7f:f9:8c:08:00 SRC=192.168.1.17 DST=192.168.1.5 LEN=52 TOS=0x00 PREC=0x00 TTL=128 ID=57302 DF PROTO=TCP SPT=1041 DPT=22 WINDOW=64240 RES=0x00 SYN URGP=0 
Aug  7 13:23:44 chiyotsu-ThinkPad-X250 kernel: [1068494.310489] [UFW AUDIT] IN=wlp3s0 OUT= MAC=dc:53:60:48:b4:1c:a0:36:9f:7f:f9:8c:08:00 SRC=192.168.1.17 DST=192.168.1.5 LEN=52 TOS=0x00 PREC=0x00 TTL=128 ID=57303 DF PROTO=TCP SPT=1041 DPT=22 WINDOW=64240 RES=0x00 SYN URGP=0 
Aug  7 13:23:48 chiyotsu-ThinkPad-X250 kernel: [1068498.322426] [UFW AUDIT] IN=wlp3s0 OUT= MAC=dc:53:60:48:b4:1c:a0:36:9f:7f:f9:8c:08:00 SRC=192.168.1.17 DST=192.168.1.5 LEN=52 TOS=0x00 PREC=0x00 TTL=128 ID=57304 DF PROTO=TCP SPT=1041 DPT=22 WINDOW=64240 RES=0x00 SYN URGP=0 
Aug  7 13:23:56 chiyotsu-ThinkPad-X250 kernel: [1068506.331331] [UFW AUDIT] IN=wlp3s0 OUT= MAC=dc:53:60:48:b4:1c:a0:36:9f:7f:f9:8c:08:00 SRC=192.168.1.17 DST=192.168.1.5 LEN=52 TOS=0x00 PREC=0x00 TTL=128 ID=57305 DF PROTO=TCP SPT=1041 DPT=22 WINDOW=64240 RES=0x00 SYN URGP=0 

SYNを5回拒否していることがわかります。ちなみにWiresharkでパケットを分析してもクライアント側から接続にきて、失敗しているな〜くらいしかわかりません。※拒否しているか、サービス起動していないんだろうなくらいの想定はできます。

ログって大切ですよね。しっかりとログの見方とレベルは都度確認しておきたいところですね。

(Visited 1,929 times, 1 visits today)
The following two tabs change content below.
【好きなもの】 インフラ技術が好き。古いものが好き。 【生きてきたフィールド】 システム運用、ソフトウェア開発、ミドルウェア検証、OSSサポート、プリセールスエンジニア、プロジェクトマネジメント 【このサイトでの役割】 サイト管理者。