Quali messaggi UFW possono logicamente controllare in modo sicuro ignorare?

Logcheck invia attualmente tantissime e-mail con messaggi come questo

Jun 6 19:31:44 <hostname> kernel: [UFW BLOCK] IN=eth0 OUT= MAC=<mac-address> SRC=<source-ip> DST=<destination-ip> LEN=40 TOS=0x00 PREC=0x00 TTL=116 ID=28729 DF PROTO=TCP SPT=56681 DPT=80 WINDOW=16652 RES=0x00 ACK FIN URGP=0 

Secondo questo Q & A questo pacchetto è bloccato perché è facoltativo.

È ragionevole avere il seguente /etc/logcheck/ignore.d.server/ufw

 ^\w{3} [ :[:digit:]]{11} [._[:alnum:]-]+ kernel: \[UFW BLOCK\].*ACK FIN.* 

  • Come bloccare un attacco su Wordpress utilizzando UFW sul server Ubuntu?
  • Come posizionare una macchina virtuale in DMZ?
  • Posso utilizzare ufw per impostare una port in avanti?
  • In ufw c'è un modo per distriggersre la logging di una regola particolare?
  • Ubuntu Server 12.04: come configurare il firewall durante l'installazione?
  • Ubuntu ufw: imposta una regola su base interface
  • Come mostrare l'attuale configuration di iptables con ufw?
  • Impostazione corretta di UFW su Ubuntu Server 10 LTS con Nginx, FastCGI e MySQL?
  • 2 Solutions collect form web for “Quali messaggi UFW possono logicamente controllare in modo sicuro ignorare?”

    A mio parere il logcheck è inutile e dovrebbe essere disabilitato (il rapporto segnale-rumore è così abisso basso e il lavoro necessario per chiuderlo è così esteso, che è meglio per ucciderlo).


    Se non condividi questo parere, generalmente puoi ignorare tutti i messaggi ufw.
    (Il tuo model di ignorare certamente mi sembra ragionevole.)

    Non è necessario essere avvisati che il firewall abbandona il traffico.
    Se hai problemi con le comunicazioni di networking, dovresti essere abbastanza intelligente per guardare i registri del firewall. Al di là di questo, dovresti provare il tuo firewall quando lo configuri per assicurarti che ti permetta quello che lo dici per consentire e gocce tutto il resto. Monitorare i suoi registri dopo che è veramente superfluo.

    Il tuo problema qui è probabilmente non logcheck, ma che hai abilitato la logging in ufw a tutti (distriggerslo con sudo ufw logging off ).

    Penso che sia più appropriato triggersre la logging quando si sta eseguendo il debug (ad es. Durante la configuration iniziale di ufw e se si riscontra un problema) e poi distriggersre in tutte le altre volte per performance e semplicità. Quindi non è un problema con il logcheck affatto, solo un problema con un tipo specifico di log che viene triggersto.

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.