Log bei Besuch.

Toffel

Toffel

Registered User
Hallo,

ich hab vor einigen Tagen nun mein Root neu gemacht, nun Logt er auch wieder ordentlich, leider logt er jetzt jeden Besucher irgendwie mit also irgendwie Port 80.

Das will ich aber nicht dadurch die Log's voll groß werden und das nur unnötig ist.

So sehen die Logs aus:
Code: 
Apr  1 07:33:49 h622498 kernel: SuSE-FW-ACCEPT IN=eth0 OUT= MAC=00:04:61:73:92:2b:00:11:5d:f2:80:00:08:00 SRC=84.175.81.xxx DS
T=81.169.xxx.xxx LEN=48 TOS=0x00 PREC=0x00 TTL=120 ID=10713 DF PROTO=TCP SPT=63855 DPT=80 WINDOW=65535 RES=0x00 SYN URGP=0 OPT
 (020405AC01010402)
Apr  1 07:33:53 h622498 kernel: SuSE-FW-ACCEPT IN=eth0 OUT= MAC=00:04:61:73:92:2b:00:11:5d:f2:80:00:08:00 SRC=80.108.187.xxx DS
T=81.169.xxx.xxx LEN=48 TOS=0x00 PREC=0x00 TTL=114 ID=4951 DF PROTO=TCP SPT=33074 DPT=80 WINDOW=64240 RES=0x00 SYN URGP=0 OPT
(020405B401010402)
Apr  1 07:33:54 h622498 kernel: SuSE-FW-ACCEPT IN=eth0 OUT= MAC=00:04:61:73:92:2b:00:11:5d:f2:80:00:08:00 SRC=195.93.60.xxx DS
T=81.169.xxx.xxx LEN=52 TOS=0x00 PREC=0x00 TTL=51 ID=41115 DF PROTO=TCP SPT=55688 DPT=80 WINDOW=5840 RES=0x00 SYN URGP=0 OPT (
020405B40101040201030300)

Ich finde das völlig unnötig, wozu hat das einen sinn?
Ein Freund meinte zu mir ich müsste das im apache abstellen, wusste aber auch nicht genau wie, kann mir jemand weiterhelfen?


Danke für eure Hilfe, Toffel.
 
Diese Logs kommen von Iptables, hat mit Apache nix zu tun.
Schau mal in den Firewallsettings nach nem LOG eintrag.

Wennsde net weist wie es geht poste hier erstmal die Ausgabe von:

Code: 
iptables -L
 
Das ist die Default Firewall von Suse - die hat ein paar Table Rules mit der Destination

-j LOG -- log-prefix "SuSE-FW-ACCEPT "

Wenn du diejenigen Regeln entfernst, die genau diese Parameter enthalten, hört das Logging auf.

Die Regeln selber stehen evtl. unter /var/lib/iptables/active - jedenfalls sind sie dort bei vielen Distributionen. Ob das auch für Suse zutrifft, kann ich dir allerdings nicht sagen, da ich Suse seit *grübel* 98? nicht mehr benutzt habe.
 
Hallo,

also ich hab diese iptable -L mal ausprobiert und ne ganze menge gekriegt, also ich hoffe ich habe die richtige stelle rausgesucht:
Code: 
DROP       icmp --  anywhere             anywhere
LOG        tcp  --  anywhere             anywhere           tcp dpt:ftp flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-ACCEPT '
ACCEPT     tcp  --  anywhere             anywhere           state NEW,RELATED,ESTABLISHED tcp dpt:ftp
LOG        tcp  --  anywhere             anywhere           tcp dpt:22222 flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-ACCEPT '
ACCEPT     tcp  --  anywhere             anywhere           state NEW,RELATED,ESTABLISHED tcp dpt:22222
LOG        tcp  --  anywhere             anywhere           tcp dpt:mysql flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-ACCEPT '
ACCEPT     tcp  --  anywhere             anywhere           state NEW,RELATED,ESTABLISHED tcp dpt:mysql
LOG        tcp  --  anywhere             anywhere           tcp dpt:ca-idms flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-ACCEPT '
ACCEPT     tcp  --  anywhere             anywhere           state NEW,RELATED,ESTABLISHED tcp dpt:ca-idms
LOG        tcp  --  anywhere             anywhere           tcp dpt:http flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-ACCEPT '
ACCEPT     tcp  --  anywhere             anywhere           state NEW,RELATED,ESTABLISHED tcp dpt:http
LOG        tcp  --  anywhere             anywhere           tcp dpt:http flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-ACCEPT '
ACCEPT     tcp  --  anywhere             anywhere           state NEW,RELATED,ESTABLISHED tcp dpt:http
LOG        tcp  --  anywhere             anywhere           tcp dpt:pop3 flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-ACCEPT '
ACCEPT     tcp  --  anywhere             anywhere           state NEW,RELATED,ESTABLISHED tcp dpt:pop3
LOG        tcp  --  anywhere             anywhere           tcp dpt:rsync flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-ACCEPT '
ACCEPT     tcp  --  anywhere             anywhere           state NEW,RELATED,ESTABLISHED tcp dpt:rsync
LOG        tcp  --  anywhere             anywhere           tcp dpt:smtp flags:SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SuSE-FW-ACCEPT '

Sop und die muss ich jetzt irgendwie entfernen mit Befehl, hab ich das richtig vertanden?
Wie würde der Befehl dazu lauten?

Danke für eure Hilfe, Toffel.
 
du kannst die entweder einzeln löschen - das musst du aber jedes mal machen, wenn der Paketfilter hoch gezogen wurde.

Besser also, du löschst die Regeln gleich aus dem Setup raus, damit die Log Regeln gar nicht erst hoch gezogen werden.

Wie das bei Suse geht, kann ich dir leider nicht sagen, da ich die Suse Firewall und deren Konfiguration selber nicht kenne.

Eine kurze Recherche ergibt, dass das wohl in
/etc/sysconfig/SuSefirewall2
definiert sein müsste.

Wenn die Datei existiert und nicht zu lang ist, kannst du die ja hier mal posten - evtl. aber vorsichtshalber IPs etc. entfernen, wenn es ein frei zugänglicher Server ist.

Paketfilterkonfig remote ist immer etwas heikel, weil man sich da durch einen Fehler leicht mal aussperren kann, also nur dann was ändern, wenn du genau weisst, was du tust, und notfalls noch mal ein mal zu viel nachfragen.
 
Hallo,

also die config ist ca. 700 Zeilen lang, also zu lang^^

Hier sind zwei Stellen wo ich denke das könnte es vielleicht sein:
Code: 
FW_SERVICE_AUTODETECT="yes"

Das könnte es aber eigentlich nicht sein, wegen no oder?
Code: 
FW_LOG_ACCEPT_ALL="no"

Danke für eure Hilfe,Toffel.
 
Toffel said:
Das könnte es aber eigentlich nicht sein, wegen no oder?
Code: 
FW_LOG_ACCEPT_ALL="no"
Click to expand...

ja, das sieht gut aus - danach sollte ein Restart der Suse Firewall etwas mehr Ruhe und Beschaulichkeit in dein Syslog bringen ;-)
 
Hi,

unter Suse (9.x) kannst Du das auch im Yast abschalten:

Sicherheit & Benutzer -> Firewall -> Neu konfigurieren ->

Dann, wenn Deine Settings ansonsten okay sind, alles bestätigen und wenn der Punkt "Protokollierungsoptionen" kommt aussuchen, was alles geloggt werden soll. In Deinem Fall würdest Du dann "Alle akzeptierten Pakete protokollieren" abwählen.

Dann die Konfiguration abschließen und das wars. Ich finds ein klein wenig schneller, als im Texteditor das Configfile direkt zu bearbeiten.

Ciao, Stefan.
 
@Ilai

Also das "no" stand da schon so drine, also das kommt nicht von mir, erscheint mir deswegen ja so unlogisch.


@petergun6666

Jop, hab ich grade nach geguckt, "Alle akzeptierten Pakete protokollieren" ist auch nicht angewählt(angekreuzt) und die Firewall wird ja normalerweise danach auch neugestartet, also ich habe echt keine ahung, warum der das trotzdem logt.


@all
Jemand anderes ne idee?

Danke für eure Hilfe, Toffel.
 
You must log in or register to reply here.
Back
Top