Gufw lokit 14.04

[jimbo]

Koitti ensin etsiä haulla tietoa juuri tästä, mutta ei oikeen löytynyt. Kiinnostaisi miten lokia pääsee katselemaan: online tilannetta ja historia lokia ? Sinänsä kun käynnistää ikonista on loki, mutta siinä ei näy koputtelijoita. Ei liene ihan helppoa?? mahd. helppo tapa olisi silti paras, jopa graafisesti? muita säätöjä/asetuksia
ei nyt tarkoituksena. Ohjelma sinänsä itselle uusi eikä ole perehtynyt sen enempää, kun vertaa firestarter, siinä oli helppoa nähdä tilanne.

[nm]

UFW:n ilmoitukset menevät järjestelmälokiin; joko yleiseen /var/log/syslog -lokiin tai erilliseen tiedostoon /var/log/ufw.log. Sieltä niitä voi sitten poimia erilaisilla skripteillä tai työkaluilla. Tavallisissa Unity- ja Gnome-työpöytäasennuksissa on mukana yksinkertainen Lokitiedostojen katselin (gnome-system-log).

Päätteessä seurantaan voi käyttää komentoa:

Koodia: [Valitse]

tail -f /var/log/syslog | grep UFW
tai jos loki on ohjattu tiedostoon /var/log/ufw.log:

Koodia: [Valitse]

tail -f /var/log/ufw.log

[jimbo]

Ok eli pääte näyttää online tilanteen, onko SPT portin numero mitä koputetaan ? vai DPT vai joku muu ?

Mahtuuko päätteeseen "tavaraa" ilman rajoituksia ? ettei näyttäminen lopu sen takia, että tulee liikaa tekstiä esim. kun on kone pidempään päällä tai paljon koputusta

Sen verran katsoi graafisesta asetuksia että on "koti" saapuva estä, lähtevä salli ja lokitus on nyt korkea, sinänsä riittäisi nähdä päätteessä vain porttinumero ja online tilanne kuinka paljon on koputusta, tämä asetuksista.

[nm]

Ok eli pääte näyttää online tilanteen, onko SPT portin numero mitä koputetaan ? vai DPT vai joku muu ?

DPT on portti, johon paketti saapuu. SPT on lähetyspään portti, jolla ei yleensä ole informaatioarvoa.

Mahtuuko päätteeseen "tavaraa" ilman rajoituksia ? ettei näyttäminen lopu sen takia, että tulee liikaa tekstiä esim. kun on kone pidempään päällä tai paljon koputusta

Uutta tavaraa mahtuu aina. Päätteen puskuri rajaa vanhan, taaksepäin selattavissa olevan sisällön määrän riveinä. Yleensä puskuri on n. 500 tai 1000 rivin mittainen, mutta asetuksen voi muuttaa haluamakseen.

sinänsä riittäisi nähdä päätteessä vain porttinumero ja online tilanne kuinka paljon on koputusta

Vaatisi hieman koodailua. Itse en viitsi seurata estettyjä paketteja. Niitä tulee aina sen verran kuin on tullakseen, eikä kotikoneissa ole pelkoa DoS-hyökkäyksistä tai tarvetta niiden tunnistamiseen. Sen sijaan palomuurin läpi päästetyt, esim. SSH-palvelimelle yrittävät yhteydet voivat olla seuraamisen arvoisia.

[jimbo]

palomuurin läpi päästetyt, esim. SSH-palvelimelle yrittävät yhteydet voivat olla seuraamisen arvoisia

eli default asetuksilla nämä pääsee läpi ?
onko tämän tyyppiset kuinka yleisiä ? vaatiiko kokeneemman käyttäjän ? mitä voi saada aikaan ?
eli vaatisi koodaamistaitoja erikseen, saada nämä näkyviin ? ei muita tapoja ?

entä muita vastaavantyyppisiä, joita olisi hyvä seurata ?
saada nämä näkyviin, onko sama periaate: koodaa itse...?
lyhyesti riittäisi näihin

käyttis puhtaan asennuksen jälkeen oli pari jotka oli vain closed, muurin asennuksen jälkeen kaikki vihreää ainakin mitä katsoi shields up testillä, toki se takaa vain lähinnä hyvän mielen..

[nm]

palomuurin läpi päästetyt, esim. SSH-palvelimelle yrittävät yhteydet voivat olla seuraamisen arvoisia

eli default asetuksilla nämä pääsee läpi ?

Ei pääse jos olet estänyt kaiken sisääntulevan liikenteen palomuurilla. Tarkoitin tapausta, jossa palomuurissa on avattu tiettyjä portteja julkisille palveluille.

Palomuurin estämän liikenteen ja palomuurin lokiviestien seuraaminen on mielestäni aika turhaa. Ongelmatilanteissa tai uusien asetusten toiminnan varmistamisessa niistä voi kyllä olla hyötyä.

onko tämän tyyppiset kuinka yleisiä ? vaatiiko kokeneemman käyttäjän ? mitä voi saada aikaan ?
eli vaatisi koodaamistaitoja erikseen, saada nämä näkyviin ? ei muita tapoja ?

Jos puhutaan palomuurin läpi, johonkin palveluun tulevasta liikenteestä, sitä seurataan yleensä kyseisen palvelun lokeista. Jos sinulla ei ole julkisia palveluja ajossa, voit olla huoletta.

käyttis puhtaan asennuksen jälkeen oli pari jotka oli vain closed, muurin asennuksen jälkeen kaikki vihreää ainakin mitä katsoi shields up testillä, toki se takaa vain lähinnä hyvän mielen..

Niin, kotikäytössä vaarat tulevat ennemmin selaimen kautta ja siihen ei palomuuri auta. Kannattaa pitää ohjelmat päivitettyinä ja välttää hämäriä sivustoja.

[ajaaskel]

http://forum.ubuntu-fi.org/index.php?topic=11295.msg369322#msg369322

"nm": n ehdotus käyttää /var/log/ufw.log tiedostoa on itse asiassa hyvä kun kun siellä ei ole tähän asiaan liittymättömiä viestejä.   Itselläni viestit näkyvät sekä syslogissa että tuolla.

Näytti olevan noin 700...1000 blokkausta päivässä kun vilkaisin logeja. 

Tuota sivuten, eräällä koneella seurasin hetken kun oli vain salasanalla suojattu ssh. Siellä oli pian joku yrittämässä salasanan murskausta kokeilemalla peräkkäin.   Yrittäjiä tulee jos ssh kysyy salasanaa tulijalta (eikä ole pelkkä avainsuojaus käytössä).

En tiedä selvisikö kysyjälle että "tail -f" näyttää jonkun viimeisimmän viestin ja jää odottamaan uusia viestejä näyttäen ne sitä mukaa kun niitä tulee, Ctrl-C lopettaa.  Sen sijaan "less" komennolla voit selata tiedoston alusta loppuun, nuoli ylös/alas ja "q" lopettaa.

[jimbo]

tuli tärkeimmät asiat selviksi, kiitos neuvoista sekä myös aiemmista