/var/log/messages.log und dmesg wird vollgemuellt

[Ework]

Hallo,
ich hab vor ein paar Wochen was von der linuxuser Zeitschrift ausprobiert und wollte es bald auch entfernen, aber ich hatte es vergessen.
Nach Wochen eventuell Monaten hab ich dann mal dmesg aufgerufen und wollte die /var/log/messages anschauen....


Die wird seither vollgemuellt:

dmesg:

Code: Alles auswählen

[26815.548818] Connection attempt (UNPRIV): IN=ppp0 OUT= MAC= SRC=95.* DST=84.* LEN=55 TOS=0x00 PREC=0x00 TTL=120 ID=59782 PROTO=UDP SPT=10700 DPT=10086 LEN=35 
[26825.575273] Connection attempt (UNPRIV): IN=ppp0 OUT= MAC= SRC=84.* DST=84.* LEN=55 TOS=0x00 PREC=0x00 TTL=118 ID=125 PROTO=UDP SPT=4672 DPT=10086 LEN=35 
[26836.102125] Stealth SYN/RST scan: IN=ppp0 OUT= MAC= SRC=91.* DST=84.* LEN=1188 TOS=0x00 PREC=0x00 TTL=121 ID=6462 DF PROTO=TCP SPT=3789 DPT=48623 WINDOW=0 RES=0x00 RST SYN URGP=11628 
[26840.691346] Connection attempt (UNPRIV): IN=ppp0 OUT= MAC= SRC=24.* DST=84.* LEN=47 TOS=0x00 PREC=0x00 TTL=115 ID=58471 PROTO=UDP SPT=16275 DPT=19786 LEN=27 
--cut--

/var/log/messages.log:

Code: Alles auswählen

Aug 27 06:28:38 selmas syslogd 1.5.0#5: restart.
Aug 27 06:28:42 selmas kernel: [246043.415958] Connection attempt (UNPRIV): IN=ppp0 OUT= MAC= SRC=201.* DST=84.* LEN=53 TOS=0x00 PREC=0x00 TTL=121 ID=14204 PROTO=UDP SPT=55119 DPT=19786 LEN=33 
Aug 27 06:28:53 selmas kernel: [246054.379977] Connection attempt (UNPRIV): IN=ppp0 OUT= MAC= SRC=124.* DST=84.* LEN=63 TOS=0x00 PREC=0x00 TTL=117 ID=22093 PROTO=UDP SPT=5158 DPT=10086 LEN=43 
Aug 27 06:29:00 selmas kernel: [246061.259741] Connection attempt (UNPRIV): IN=ppp0 OUT= MAC= SRC=203.* DST=84.* LEN=53 TOS=0x00 PREC=0x00 
--cut--

Hat jemand eine Idee wie ich das wieder auf normal stellen kann?

---EDIT ich hab die logs mal drastisch gekürzt da es eh immer das gleiche ist...-----

[goecke]

Das sieht nach log meldungen von iptables aus.

mach mal (als root) ein

Code: Alles auswählen

iptables -L

dort wirst du sehen welche Firewall-Regeln du eingefügt hast.

Wenn das durch einen Reboot nicht erledigt
(iptables regeln müssen bei jedem neustart neu gesetzt werden),
must du herausfinden wer, wo die iptables regeln einfügt werden.

Im Zweifel sollte

Code: Alles auswählen

find /etc -type f | xargs grep "iptables"

Dir Hinweise geben.

HTH

[Ework]

Ich hab auch arnos-ip-firewall script laufen...
Da hab ich aber meiner meinung nach nichts verändert.

iptables -L:
31495

find /etc -type f | xargs grep "iptables":
31496

Danielx: Beachte bitte Verhaltensregel 2.6

Leider kann ich nicht viel mit den Infos anfangen.
Kannst du mir so weiterhelfen?
Vielen Dank.

[rendegast]

iptables-Meldungen laufen in der facility "kern", sind daher mit dem Standard-syslogd nicht auszufiltern.

Mit den syslog-Dämonen syslog-ng oder rsyslogd kannst Du Regeln erstellen,
sodaß diese Meldungen nicht mehr im dmesg | kern.log | messages.log | console auftauchen,
und sie in eine eigene Datei leiten.


---------------
debian bevorzugt den rsyslogd.
EDIT (siehe hier drunter) Ich empfehle den syslog-ng, ist ressourcensparender,
und was der rsyslogd mehr bietet wirst Du nie brauchen.

Beide binden den klassischen Syntax des (bsd-)syslogd ein,
weitergehende Einstellungen sind ähnlich kompliziert.
EDIT 20091120 ------
Nein, finde mittlerweile die Struktur des rsyslog.d/ doch übersichtlicher gegenüber der einen (mittlerweile vollgepfropften) syslog-ng.conf,
Zudem ist das Beenden der message-Bearbeitung mittels einer! "~" doch sehr viel eleganter,
statt wie beim syslog-ng in jeder möglichen log-Sektion einen negativen Filter einbauen zu müssen
(EDIT dafür gibt es dort 'flags(final)', sorry).
Jedoch hat die Grundidee des syslog-ng von definierten Quelle - Filter - Destination/Ausgabe etwas für sich,
spaltet sich die Konfiguration mal in einzelne Dateien/Verzeichnisse auf, lohnt sich wohl wieder ein Blick.

[goecke]

Puh, da hast du ja ne ziemlich aufwändige Firewall!

Ist der Rechner direkt mit dem Öffentlichen Netz verbunden?
für sowas komplexes musst du ja ne menge Dienste auch nach aussen
anbieten wollen.

Ich bin nicht der Firewall - Guru, aber soviel kann ich Dir sagen:
Du musst verfolgen welche Scripte in /etc/init.d irgendwas
mit Firewall machen, und wo deren Configurationen liegen
(zumindest nicht vollständig in /etc.)

dort musst du suchen nach sowas wie:

Code: Alles auswählen

iptables -A <......> -j LOG  --log-prefix "Connection attempt (UNPRIV)"

und diese Zeilen nach bedarf auskommentieren.

HTH


PS:
Für meine Zwecke reicht die Firewall des Hardware-Routers, die alle eingehenden Verbindungen blockiert
(bis auf Port-Weiterleitungen von SSH und HTTP) die Dienste sauber konfiguriert:
z.B. ssh nur mit publik-key, "Allowgroups sshuser" und http ohne Aktive Inhalte.

[Ework]

sorry das ich mich erst jetzt wieder melden konnte.
Ich bin im Prüfungsstress ;(

Die Meldungen stammen tatsächlich von der arnos-ip-firewall.
Auf seiner Homepage under FAQ (http://rocky.eld.leidenuniv.nl/joomla/i ... &Itemid=81):

Zitat:
Q: Since I configured your firewall to use debug level for logging, my console gets filled with firewall messages. (How) can I fix this?
A: This problem is distribution-dependent. It's caused by the fact that some systems have their syslogd configured to also log debug messages to the console. To disable any non-crucial logging to the console, you should execute "dmesg -n 1" on the console. You can (of course) also modify your /etc/syslog.conf to fix this.

Die Beispiel syslog.conf hab ich mir angeschaut ( /usr/share/doc/arno-iptables-firewall/examples/syslog.conf )
Debian nutzt aber nun rsyslog. Ist das das gleiche?

Ich habe in der /etc/rsyslog.conf
Folgendes hinzugefügt:

Code: Alles auswählen

# Logging for iptables
kern.=debug                     /var/log/firewall

Leider bringt es nichts.

Auch "dmesg -n 1" hilft nicht.

Eine Email an den scripter bliebt bis jetzt unbeantwortet.

Vielen dank für die Hilfe.

[rendegast]

Das syslog hab ich mir angeschaut.
Debian nutzt aber nun rsyslog. Ist das das gleiche?

Für "normale" Benutzer hinsichtlich Syntax-Komplexität und Möglichkeiten: Ja. (EDIT: Nein, siehe hier drunter)

..., finde mittlerweile die Struktur des rsyslog.d/ doch übersichtlicher gegenüber der einen (mittlerweile vollgepfropften) syslog-ng.conf,
...

Da rsyslog nun debian-Standard ist, ergibt sich womöglich mehr Hilfe zBsp. in Foren.

kern.=debug /var/log/firewall

Hier sollen nur Meldungen der Stufe debug ausgegeben werden,
vielleicht werden diese erst durch

debug [KNL] Enable kernel debugging (events log level).

aktiviert?
Versuche es mit
'kern.debug /var/log/firewall'
(Stufe 'debug' und höher, was eigentlich 'alle' meint: 'kern.*')

Mein syslog-ng-Filter für die iptables-Meldungen:

Code: Alles auswählen

filter          f_IPTABLES      { facility(kern) and match(IN=.*OUT=.*SRC=.*DST=); };
#filter         f_IPTABLES_not  { not facility(kern) and match(IN=.*OUT=.*SRC=.*DST=); };
filter          f_IPTABLES_not  { not match(IN=.*OUT=.*SRC=.*DST=); };

Der Filter "f_IPTABLES_not" wird gebraucht, um die Meldungen aus den bisherigen Zieldateien herauszuhalten.

[Ework]

Ich habe nun:
# Logging for iptables
kern.debug /var/log/firewall

Hilft leider auch nicht:
dmesg:

Code: Alles auswählen

[   18.600406] ip_tables: (C) 2000-2006 Netfilter Core Team
[   18.746498] nf_conntrack version 0.5.0 (16384 buckets, 65536 max)
[   23.720982] PPP generic driver version 2.4.2
[   23.956473] NET: Registered protocol family 10
[   23.956473] lo: Disabled Privacy Extensions
[   24.439264] NET: Registered protocol family 24
[   30.046506] warning: `proftpd' uses 32-bit capabilities (legacy support in use)
[   34.582367] u32 classifier
[   34.582367]     Performance counters on
[   34.582367]     input device check on 
[   34.582367]     Actions configured 
[   36.718768] eth0: no IPv6 routers present
[   52.744137] Connection attempt (UNPRIV): IN=ppp0 OUT= MAC= SRC=129.143.67.242 DST=84.173.193.4 LEN=60 TOS=0x10 PREC=0x00 TTL=57 ID=2631 DF PROTO=TCP SPT=61437 DPT=1080 WINDOW=5840 RES=0x00 SYN URGP=0 
[   56.064156] Connection attempt (UNPRIV): IN=ppp0 OUT= MAC= SRC=129.143.67.242 DST=84.173.193.4 LEN=60 TOS=0x10 PREC=0x00 TTL=57 ID=2632 DF PROTO=TCP SPT=61437 DPT=1080 WINDOW=5840 RES=0x00 SYN URGP=0 
[   89.971365] Connection attempt (UNPRIV): IN=ppp0 OUT= MAC= SRC=129.143.67.242 DST=84.173.193.4 LEN=60 TOS=0x10 PREC=0x00 TTL=57 ID=2634 DF PROTO=TCP SPT=61437 DPT=1080 WINDOW=5840 RES=0x00 SYN URGP=0 
[  109.927625] Connection attempt (UNPRIV): IN=ppp0 OUT= MAC= SRC=129.143.67.242 DST=84.173.193.4 LEN=60 TOS=0x00 PREC=0x00 TTL=57 ID=9649 DF PROTO=TCP SPT=61454 DPT=3128 WINDOW=5840 RES=0x00 SYN URGP=0 
[  114.088054] Connection attempt (UNPRIV): IN=ppp0 OUT= MAC= SRC=129.143.67.242 DST=84.173.193.4 LEN=60 TOS=0x00 PREC=0x00 TTL=57 ID=9650 DF PROTO=TCP SPT=61454 DPT=3128 WINDOW=5840 RES=0x00 SYN URGP=0 
[  142.651269] Connection attempt (UNPRIV): IN=ppp0 OUT= MAC= SRC=129.143.67.242 DST=84.173.193.4 LEN=60 TOS=0x00 PREC=0x00 TTL=57 ID=9652 DF PROTO=TCP SPT=61454 DPT=3128 WINDOW=5840 RES=0x00 SYN URGP=0 
[  204.433260] Connection attempt (PRIV): IN=ppp0 OUT= MAC= SRC=84.237.155.25 DST=84.173.193.4 LEN=64 TOS=0x00 PREC=0x00 TTL=40 ID=31043 DF PROTO=TCP SPT=1431 DPT=445 WINDOW=43570 RES=0x00 SYN URGP=0 
[  209.822847] Connection attempt (PRIV): IN=ppp0 OUT= MAC= SRC=84.237.155.25 DST=84.173.193.4 LEN=64 TOS=0x00 PREC=0x00 TTL=40 ID=32020 DF PROTO=TCP SPT=1431 DPT=445 WINDOW=43570 RES=0x00 SYN URGP=0 

/var/log/firewall unterscheidet sich nun nicht von dmesg. Alles ist dort gleich.
cat /var/log/firewall

Code: Alles auswählen

Nov 13 21:08:44 selmas kernel: [   17.417063] EXT3 FS on sda5, internal journal
Nov 13 21:08:44 selmas kernel: [   17.417063] EXT3-fs: mounted filesystem with ordered data mode.
Nov 13 21:08:44 selmas kernel: [   17.417063] kjournald starting.  Commit interval 5 seconds
Nov 13 21:08:44 selmas kernel: [   17.417063] EXT3 FS on sda6, internal journal
Nov 13 21:08:44 selmas kernel: [   17.417063] EXT3-fs: mounted filesystem with ordered data mode.
Nov 13 21:08:44 selmas kernel: [   18.600406] ip_tables: (C) 2000-2006 Netfilter Core Team
Nov 13 21:08:44 selmas kernel: [   18.746498] nf_conntrack version 0.5.0 (16384 buckets, 65536 max)
Nov 13 21:08:44 selmas kernel: [   23.720982] PPP generic driver version 2.4.2
Nov 13 21:08:44 selmas kernel: [   23.956473] NET: Registered protocol family 10
Nov 13 21:08:44 selmas kernel: [   23.956473] lo: Disabled Privacy Extensions
Nov 13 21:08:44 selmas kernel: [   24.439264] NET: Registered protocol family 24
Nov 13 21:08:47 selmas kernel: [   30.046506] warning: `proftpd' uses 32-bit capabilities (legacy support in use)
Nov 13 21:08:50 selmas kernel: [   34.582367] u32 classifier
Nov 13 21:08:50 selmas kernel: [   34.582367]     Performance counters on
Nov 13 21:08:50 selmas kernel: [   34.582367]     input device check on 
Nov 13 21:08:50 selmas kernel: [   34.582367]     Actions configured 
Nov 13 21:08:52 selmas kernel: [   36.718768] eth0: no IPv6 routers present
Nov 13 21:09:04 selmas kernel: [   52.744137] Connection attempt (UNPRIV): IN=ppp0 OUT= MAC= SRC=129.143.67.242 DST=84.173.193.4 LEN=60 TOS=0x10 PREC=0x00 TTL=57 ID=2631 DF PROTO=TCP SPT=61437 DPT=1080 WINDOW=5840 RES=0x00 SYN URGP=0 
Nov 13 21:09:07 selmas kernel: [   56.064156] Connection attempt (UNPRIV): IN=ppp0 OUT= MAC= SRC=129.143.67.242 DST=84.173.193.4 LEN=60 TOS=0x10 PREC=0x00 TTL=57 ID=2632 DF PROTO=TCP SPT=61437 DPT=1080 WINDOW=5840 RES=0x00 SYN URGP=0 
Nov 13 21:09:25 selmas kernel: [   89.971365] Connection attempt (UNPRIV): IN=ppp0 OUT= MAC= SRC=129.143.67.242 DST=84.173.193.4 LEN=60 TOS=0x10 PREC=0x00 TTL=57 ID=2634 DF PROTO=TCP SPT=61437 DPT=1080 WINDOW=5840 RES=0x00 SYN URGP=0 
Nov 13 21:09:36 selmas kernel: [  109.927625] Connection attempt (UNPRIV): IN=ppp0 OUT= MAC= SRC=129.143.67.242 DST=84.173.193.4 LEN=60 TOS=0x00 PREC=0x00 TTL=57 ID=9649 DF PROTO=TCP SPT=61454 DPT=3128 WINDOW=5840 RES=0x00 SYN URGP=0 
Nov 13 21:09:39 selmas kernel: [  114.088054] Connection attempt (UNPRIV): IN=ppp0 OUT= MAC= SRC=129.143.67.242 DST=84.173.193.4 LEN=60 TOS=0x00 PREC=0x00 TTL=57 ID=9650 DF PROTO=TCP SPT=61454 DPT=3128 WINDOW=5840 RES=0x00 SYN URGP=0 
Nov 13 21:09:57 selmas kernel: [  142.651269] Connection attempt (UNPRIV): IN=ppp0 OUT= MAC= SRC=129.143.67.242 DST=84.173.193.4 LEN=60 TOS=0x00 PREC=0x00 TTL=57 ID=9652 DF PROTO=TCP SPT=61454 DPT=3128 WINDOW=5840 RES=0x00 SYN URGP=0 
Nov 13 21:10:39 selmas kernel: [  204.433260] Connection attempt (PRIV): IN=ppp0 OUT= MAC= SRC=84.237.155.25 DST=84.173.193.4 LEN=64 TOS=0x00 PREC=0x00 TTL=40 ID=31043 DF PROTO=TCP SPT=1431 DPT=445 WINDOW=43570 RES=0x00 SYN URGP=0 
Nov 13 21:10:42 selmas kernel: [  209.822847] Connection attempt (PRIV): IN=ppp0 OUT= MAC= SRC=84.237.155.25 DST=84.173.193.4 LEN=64 TOS=0x00 PREC=0x00 TTL=40 ID=32020 DF PROTO=TCP SPT=1431 DPT=445 WINDOW=43570 RES=0x00 SYN URGP=0 

wo gibt man den die f_IPTABLes filter an?

kernel-parameters.txt hat geschrieben:
debug [KNL] Enable kernel debugging (events log level).
aktiviert?

Wie geht das aktivieren?

Sorry für meine Unwissenheit

[Profbunny]

hm,

wenn ich das richtig deute, hast du gleich zwei scripte laufen
/etc/init.d/iptables.sh
/etc/init.d/arno-iptables-firewall

das ist unsinnig und evtl contraproduktiv da sie sich gegenseitig behindern unterlaufen.

Ich habe nun:
# Logging for iptables
kern.debug /var/log/firewall

/var/log/firewall unterscheidet sich nun nicht von dmesg. Alles ist dort gleich.

das ist normal, da in der conf steht das alles was priorität kern.debug hat nach dmesg läuft.
änderst du das, stehen meldungen dieser priorität nur noch in der /var/log/firewall - die sich niemand anschaut..
würde ich nicht empfehlen, stell das loggen der firewall auf ulog um und das problem verschwindet.
hth

[rendegast]

/var/log/firewall unterscheidet sich nun nicht von dmesg. Alles ist dort gleich.

Na klar, denn
'kern.debug /var/log/firewall'
ist im Grunde dieselbe Anweisung wie
'kern.* -/var/log/kern.log'

Ich habe mit dabei auf das bezogen:

Leider bringt es nichts.

(Hörte sich so an, als dort überhaupt nichts ankäme)

debug [KNL] Enable kernel debugging (events log level).

Ist wohl eher dafür da, um zBsp. Treiber-Modulen diesen Log-level zu ermöglichen.
(Da war mal was)

wo gibt man den die f_IPTABLes filter an?

Ich habe dabei geschrieben, daß dies so im syslog-ng verwendet wird.
Beim rsyslog ist der Syntax natürlich anders,
zBsp. /etc/rsyslog.d/firewall.conf :
(wird durch '$IncludeConfig /etc/rsyslog.d/*.conf' vor den bsd-Compat-Regeln aufgerufen)

Code: Alles auswählen

:msg,regex,"IN=.*OUT=.*SRC=.*DST="		/var/log/firewall
:msg,regex,"IN=.*OUT=.*SRC=.*DST="		~

'~' beendet beim rsyslog die weitere Bearbeitung dieser Meldungen, damit landen sie in keiner anderen Log-Datei mehr.






-------------------------------------

stehen meldungen dieser priorität nur noch in der /var/log/firewall - die sich niemand anschaut..

Ich hoffe, neben
'kern.debug /var/log/firewall'
wurde noch
'kern.* -/var/log/kern.log'
beibehalten,
hier sollen keine Meldungen verschwinden, sondern am richtigen Platz landen.
Und in /var/log/firewall erwarte ich Meldungen des Paketfilters,
die ich dann nicht im kern.log sehen möchte.

[Ework]

hm,

wenn ich das richtig deute, hast du gleich zwei scripte laufen
/etc/init.d/iptables.sh
/etc/init.d/arno-iptables-firewall

das ist unsinnig und evtl contraproduktiv da sie sich gegenseitig behindern unterlaufen.

Ich habe nun:
# Logging for iptables
kern.debug /var/log/firewall

/var/log/firewall unterscheidet sich nun nicht von dmesg. Alles ist dort gleich.

das ist normal, da in der conf steht das alles was priorität kern.debug hat nach dmesg läuft.
änderst du das, stehen meldungen dieser priorität nur noch in der /var/log/firewall - die sich niemand anschaut..
würde ich nicht empfehlen, stell das loggen der firewall auf ulog um und das problem verschwindet.
hth

Code: Alles auswählen

ls /etc/init.d/
acpid			killprocs	       rcS
apache2			lm-sensors	       README
arno-iptables-firewall	module-init-tools      reboot
atd			mountall-bootclean.sh  rmnologin
bootlogd		mountall.sh	       rsyslog
bootmisc.sh		mountdevsubfs.sh       screen-cleanup
checkfs.sh		mountkernfs.sh	       sendsigs
checkroot.sh		mountnfs-bootclean.sh  single
console-screen.sh	mountnfs.sh	       skeleton
cron			mountoverflowtmp       smartmontools
ddclient		mtab.sh		       spamassassin
exim4			munin-node	       ssh
fancontrol		networking	       stop-bootlogd
glibc.sh		nfs-common	       stop-bootlogd-single
halt			ntp		       udev
hddtemp			oidentd		       udev-mtab
hdparm			openbsd-inetd	       umountfs
hostname.sh		portmap		       umountnfs.sh
hwclockfirst.sh		pppd-dns	       umountroot
hwclock.sh		procps		       urandom
ifupdown		proftpd		       x11-common
ifupdown-clean		rc
keymap.sh		rc.local

Arnos IP Firewall nutzt soviel ich weiss iptables. Es ist nur ein Script.
iptables.sh hab ich im init.d nicht.


ich habe nun in der /etc/arnos-ip-firewall/firewall.conf folgende sachen eingestellt:

ajonas@selmas:~$ cat /etc/arno-iptables-firewall/firewall.conf |grep -i unp
# Enable logging of normal connection attempts to unprivileged TCP ports.
UNPRIV_TCP_LOG=0
# Enable logging of normal connection attempts to unprivileged UDP ports.
UNPRIV_UDP_LOG=0

und:
PRIV_TCP_LOG=0
PRIV_UDP_LOG=0

Nun wird nicht mehr zu sehr das dmesg vollgemüllt.
Alles andere half leider nicht.
Ich hätte mit den logs eh nichts anfangen können. Was sagt den das hier aus:
Connection attempt (UNPRIV): IN=ppp0 OUT= MAC= SRC=129.143.67.242 DST=84.173.193.4 LEN=60 TOS=0x10 PREC=0x00 TTL=57 ID=2631 DF PROTO=TCP SPT=61437 DPT=1080 WINDOW=5840 RES=0x00 SYN URGP=0

Danke für die Hilfe

[Ework]

Code: Alles auswählen

[77283.692115] TCP: Treason uncloaked! Peer 212.7.189.95:30999/36172 shrinks window 677397117:677398170. Repaired.
[79525.742616] ICMP-request: IN=ppp0 OUT= MAC= SRC=188.247.62.24 DST=84.173.217.65 LEN=61 TOS=0x00 PREC=0x00 TTL=119 ID=10262 PROTO=ICMP TYPE=8 CODE=0 ID=256 SEQ=62962 
[80395.390854] ICMP-request: IN=ppp0 OUT= MAC= SRC=61.186.249.141 DST=84.173.217.65 LEN=60 TOS=0x00 PREC=0x00 TTL=54 ID=39047 PROTO=ICMP TYPE=8 CODE=0 ID=40980 SEQ=1 
[83221.509966] ICMP-request: IN=ppp0 OUT= MAC= SRC=121.55.104.231 DST=84.173.217.65 LEN=61 TOS=0x00 PREC=0x00 TTL=113 ID=14827 PROTO=ICMP TYPE=8 CODE=0 ID=512 SEQ=142 
[84672.552752] ICMP-request: IN=ppp0 OUT= MAC= SRC=60.214.67.3 DST=84.173.217.65 LEN=60 TOS=0x00 PREC=0x00 TTL=54 ID=14044 PROTO=ICMP TYPE=8 CODE=0 ID=31251 SEQ=1 
[84702.843317] ICMP-request: IN=ppp0 OUT= MAC= SRC=222.174.114.141 DST=84.173.217.65 LEN=60 TOS=0x00 PREC=0x00 TTL=51 ID=17338 PROTO=ICMP TYPE=8 CODE=0 ID=31251 SEQ=5 
[85271.510855] ICMP-request: IN=ppp0 OUT= MAC= SRC=60.214.67.3 DST=84.173.217.65 LEN=60 TOS=0x00 PREC=0x00 TTL=54 ID=58551 PROTO=ICMP TYPE=8 CODE=0 ID=33592 SEQ=1 
[85305.975807] ICMP-request: IN=ppp0 OUT= MAC= SRC=222.174.114.141 DST=84.173.217.65 LEN=60 TOS=0x00 PREC=0x00 TTL=52 ID=61438 PROTO=ICMP TYPE=8 CODE=0 ID=33592 SEQ=6 

Da es die firewall.conf im rsyslog.d noch nicht gab hab ich diese angelegt:

selmas:~# cat /etc/rsyslog.d/firewall.conf
:msg,regex,"IN=.*OUT=.*SRC=.*DST=" /var/log/firewall
:msg,regex,"IN=.*OUT=.*SRC=.*DST=" ~

Muss man die config noch in der /etc/rsyslog.conf laden?

Es funktioniert noch nicht.

Vielen dank für die Hilfe.

[rendegast]

Muss man die config noch in der /etc/rsyslog.conf laden?

(wird durch '$IncludeConfig /etc/rsyslog.d/*.conf' vor den bsd-Compat-Regeln aufgerufen)

rsyslog neu gestartet?
(Weiß gerade nicht, ob er das automatisch veranlaßt bei Änderungen an der rsyslog.conf und/oder rsyslog.d/)

[Ework]

Ja restartet hab ich den rsyclog über /etc/init.d/rsyslog restart

In der rsyslog.conf ist auch der eintrag für configs im /etc/rsyslog.d zum starten der configs.

Es scheint dennoch nicht zu funktionieren.

[rendegast]

Es scheint dennoch nicht zu funktionieren.

Soll heißen, daß die Meldungen immer noch auf die Konsole gedruckt werden?

Zumindest werden sie damit in diese eine Datei geleitet, und nur in diese,
habe das gerade nochmal ausprobiert.


Habe auch ausprobiert, ob die Kernel-Meldungen auf der Konsole überhaupt etwas mit rsyslog zu tun haben,
also ob sie nach Stoppen des rsyslog noch kommen.
NEIN, sie haben nichts mit dem rsyslog zu tun, denn
JA, diese Konsolenmeldungen kommen auch nach dem Beenden von rsyslog.

Die Lösung über /proc/sys/kernel/printk :
viewtopic.php?f=30&t=45065&start=0&hili ... nel.printk
http://channel.debian.de/faq/ch-config.html#s-klogdspam

Code: Alles auswählen

# cat /proc/sys/kernel/printk
7       4       1       7

# echo 4 > /proc/sys/kernel/printk

# cat /proc/sys/kernel/printk
4       4       1       7

oder einen entsprechenden Eintrag in /etc/sysctl.conf.

[Ework]

Vielen dank für deine Hilfe, leider hilft dies auch nicht.
Nach dem editieren hab ich ein reboot gemacht.

Und alle Einstellungen nochmal abgefragt :

Code: Alles auswählen

selmas:~# cat /etc/sysctl.conf
#
# /etc/sysctl.conf - Configuration file for setting system variables
# See /etc/sysctl.d/ for additonal system variables
# See sysctl.conf (5) for information.
#

#kernel.domainname = example.com

# Uncomment the following to stop low-level messages on console
kernel.printk = 2 4 1 7

Warum das nun auf eins ist obwohl ich zwei eingegeben hab ist mir ein Rätsel.

Code: Alles auswählen

selmas:~# cat /proc/sys/kernel/printk
1	4	1	7

Code: Alles auswählen

selmas:~# dmesg |grep IN
[    0.000000] ACPI: DSDT 6FF90620, 6C40 (r1  00047 00047007        7 INTL 20051117)
[    0.000000] ACPI: INT_SRC_OVR (bus 0 bus_irq 0 global_irq 2 dfl dfl)
[    0.000000] ACPI: INT_SRC_OVR (bus 0 bus_irq 9 global_irq 9 high level)
[    0.000000] ACPI: INT_SRC_OVR (bus 0 bus_irq 14 global_irq 14 high edge)
[    0.000000] ACPI: INT_SRC_OVR (bus 0 bus_irq 15 global_irq 15 high edge)
[    0.118549] ENABLING IO-APIC IRQs
[   81.503504] Connection attempt (UNPRIV): IN=ppp0 OUT= MAC= SRC=87.107.20.106 DST=84.173.204.168 LEN=48 TOS=0x00 PREC=0x00 TTL=112 ID=23374 DF PROTO=TCP SPT=2054 DPT=5901 WINDOW=65535 RES=0x00 SYN URGP=0 
[   85.704873] Connection attempt (UNPRIV): IN=ppp0 OUT= MAC= SRC=87.107.20.106 DST=84.173.204.168 LEN=48 TOS=0x00 PREC=0x00 TTL=112 ID=24238 DF PROTO=TCP SPT=2054 DPT=5901 WINDOW=65535 RES=0x00 SYN URGP=0 
[   95.398990] Connection attempt (UNPRIV): IN=ppp0 OUT= MAC= SRC=129.143.67.242 DST=84.173.204.168 LEN=60 TOS=0x10 PREC=0x00 TTL=57 ID=55255 DF PROTO=TCP SPT=49713 DPT=1080 WINDOW=5840 RES=0x00 SYN URGP=0 
[  123.977299] Connection attempt (UNPRIV): IN=ppp0 OUT= MAC= SRC=129.143.67.242 DST=84.173.204.168 LEN=60 TOS=0x10 PREC=0x00 TTL=57 ID=55257 DF PROTO=TCP SPT=49713 DPT=1080 WINDOW=5840 RES=0x00 SYN URGP=0 
[  138.899212] Connection attempt (UNPRIV): IN=ppp0 OUT= MAC= SRC=129.143.67.242 DST=84.173.204.168 LEN=60 TOS=0x00 PREC=0x00 TTL=57 ID=3566 DF PROTO=TCP SPT=49729 DPT=3128 WINDOW=5840 RES=0x00 SYN URGP=0 
[  143.638544] Connection attempt (UNPRIV): IN=ppp0 OUT= MAC= SRC=129.143.67.242 DST=84.173.204.168 LEN=60 TOS=0x00 PREC=0x00 TTL=57 ID=3567 DF PROTO=TCP SPT=49729 DPT=3128 WINDOW=5840 RES=0x00 SYN URGP=0 
[  164.580756] Connection attempt (PRIV): IN=ppp0 OUT= MAC= SRC=217.95.176.179 DST=84.173.204.168 LEN=47 TOS=0x00 PREC=0x00 TTL=123 ID=14046 PROTO=UDP SPT=39246 DPT=443 LEN=27 
[  164.580756] Connection attempt (UNPRIV): IN=ppp0 OUT= MAC= SRC=95.133.175.28 DST=84.173.204.168 LEN=47 TOS=0x00 PREC=0x00 TTL=118 ID=12373 PROTO=UDP SPT=6437 DPT=65369 LEN=27 
[  165.152315] Connection attempt (PRIV): IN=ppp0 OUT= MAC= SRC=212.28.225.245 DST=84.173.204.168 LEN=47 TOS=0x00 PREC=0x00 TTL=119 ID=1858 PROTO=UDP SPT=19421 DPT=80 LEN=27 
[  169.401842] Connection attempt (UNPRIV): IN=ppp0 OUT= MAC= SRC=95.133.175.28 DST=84.173.204.168 LEN=48 TOS=0x00 PREC=0x00 TTL=118 ID=12466 DF PROTO=TCP SPT=1837 DPT=65369 WINDOW=65535 RES=0x00 SYN URGP=0 
[  175.551532] Connection attempt (UNPRIV): IN=ppp0 OUT= MAC= SRC=95.133.175.28 DST=84.173.204.168 LEN=48 TOS=0x00 PREC=0x00 TTL=118 ID=12556 DF PROTO=TCP SPT=1837 DPT=65369 WINDOW=65535 RES=0x00 SYN URGP=0 
[  197.528340] Connection attempt (UNPRIV): IN=ppp0 OUT= MAC= SRC=130.133.8.2 DST=84.173.204.168 LEN=60 TOS=0x10 PREC=0x00 TTL=56 ID=64971 DF PROTO=TCP SPT=45022 DPT=1080 WINDOW=5840 RES=0x00 SYN URGP=0 
[  211.010150] Connection attempt (UNPRIV): IN=ppp0 OUT= MAC= SRC=130.133.8.2 DST=84.173.204.168 LEN=60 TOS=0x10 PREC=0x00 TTL=56 ID=64973 DF PROTO=TCP SPT=45022 DPT=1080 WINDOW=5840 RES=0x00 SYN URGP=0 
[  222.673462] Connection attempt (UNPRIV): IN=ppp0 OUT= MAC= SRC=130.133.8.2 DST=84.173.204.168 LEN=60 TOS=0x00 PREC=0x00 TTL=56 ID=62295 DF PROTO=TCP SPT=54020 DPT=3128 WINDOW=5840 RES=0x00 SYN URGP=0 
[  239.672264] Connection attempt (UNPRIV): IN=ppp0 OUT= MAC= SRC=130.133.8.2 DST=84.173.204.168 LEN=60 TOS=0x00 PREC=0x00 TTL=56 ID=46006 DF PROTO=TCP SPT=46065 DPT=6588 WINDOW=5840 RES=0x00 SYN URGP=0 
[  860.558474] Connection attempt (PRIV): IN=ppp0 OUT= MAC= SRC=84.154.114.181 DST=84.173.204.168 LEN=64 TOS=0x00 PREC=0x00 TTL=44 ID=45430 DF PROTO=TCP SPT=1310 DPT=135 WINDOW=53760 RES=0x00 SYN URGP=0 
[  864.867227] Connection attempt (PRIV): IN=ppp0 OUT= MAC= SRC=84.154.114.181 DST=84.173.204.168 LEN=64 TOS=0x00 PREC=0x00 TTL=44 ID=46262 DF PROTO=TCP SPT=1310 DPT=135 WINDOW=53760 RES=0x00 SYN URGP=0 
[  959.016818] Connection attempt (PRIV): IN=ppp0 OUT= MAC= SRC=84.142.57.142 DST=84.173.204.168 LEN=64 TOS=0x00 PREC=0x00 TTL=44 ID=25465 DF PROTO=TCP SPT=2369 DPT=135 WINDOW=53760 RES=0x00 SYN URGP=0 
[  963.167121] Connection attempt (PRIV): IN=ppp0 OUT= MAC= SRC=84.142.57.142 DST=84.173.204.168 LEN=64 TOS=0x00 PREC=0x00 TTL=44 ID=26306 DF PROTO=TCP SPT=2369 DPT=135 WINDOW=53760 RES=0x00 SYN URGP=0 
selmas:~# 

Sehr schade das ich so grosse probs hab.

[rendegast]

kernel.printk = 2 4 1 7

'kernel.printk = 4' sollte reichen.
Einfache ping werden dann nicht mehr angezeigt, daher auch mal selbst anpingen mit verschiedenen printk-Stufen.
(Nicht daß die obigen "Connection attempt (UNPRIV)" eine "Spezielbehandlung" gegenüber 'ping' bekommen)

Nach dem editieren hab ich ein reboot gemacht.

Ein

Code: Alles auswählen

/etc/init.d/procps restart 
oder 
echo 4 > /proc/sys/kernel/printk

reicht aus.
Ausprobieren ob dieser Wert dann Bestand hat, und auch die Meldungen in der Konsole beendet.
Um damit zu prüfen, daß der Übeltäter außer dem printk-Wert nicht auch noch die Priority dieser Meldungen geändert hat,
und diesen Wert nicht auch noch überwacht und ständig neu setzt.
Ein Anhalt:

Code: Alles auswählen

lsof | grep printk

In /etc nach "printk" suchen, vielleicht macht es der Übeltater ja mit einem einfachen 'echo ... > ...printk'.


In die Startskripte einbauen:

Code: Alles auswählen

echo -n PRINTK $0; cat /proc/sys/kernel/printk

Um herauszubekommen, wann es passiert.
(nach /etc/rcS.d/S..procps sollte reichen )


Die verdächtigen Pakete (hier arno) separat entpacken, und auf "printk", "proc/" usw. untersuchen:

Code: Alles auswählen

cd /tmp
aptitude download arno-iptables-firewall
dpkg-deb -x arno-iptables-firewall_....deb arno-iptables-firewall
dpkg-deb -e arno-iptables-firewall_....deb arno-iptables-firewall                # Die Control-Dateien auch

Obwohl dort kein printk zu finden ist, arbeitet es viel mit dem 'echo ... > /proc/...'-Konstrukt.

[Ework]

31941

In die Startskripte einbauen:

Code: Alles auswählen
echo -n PRINTK $0; cat /proc/sys/kernel/printk

Um herauszubekommen, wann es passiert.
(nach /etc/rcS.d/S..procps sollte reichen )

Ok drin ist es soll ich dann rebooten?
Vielen dank für deine Mühe.

Danielx: Beachte bitte nochmals Punkt 2.6 der Verhaltensregeln

[rendegast]

Bei mir habe ich es mal in den rcS.d/-Skripten vor den abschließenden 'exit' (o.ä.) eingesetzt:

# cat /var/log/boot | egrep "/sys|PRINTK"
Tue Nov 24 04:45:45 2009: PRINTK /etc/rcS.d/S13.AUTOFSCK7
Tue Nov 24 04:45:45 2009: Setting kernel variables (/etc/sysctl.conf)...done.
Tue Nov 24 04:45:45 2009: Setting kernel variables (/etc/sysctl.d/mm_min_addr.conf)...done.
Tue Nov 24 04:45:45 2009: Setting kernel variables (/etc/sysctl.d/zz_kernel-console.conf)...kernel.printk = 4
Tue Nov 24 04:45:45 2009: Setting kernel variables (/etc/sysctl.d/zz_powertop.vm.conf)...vm.dirty_writeback_centisecs = 1500
Tue Nov 24 04:45:45 2009: PRINTK /etc/rcS.d/S14procps4
Tue Nov 24 04:45:45 2009: PRINTK /etc/rcS.d/S14x11-common4
Tue Nov 24 04:45:45 2009: PRINTK /etc/rcS.d/S15mountnfs.sh4
Tue Nov 24 04:45:46 2009: ^[[9;3]^[[14;1]PRINTK /etc/rcS.d/S17console-screen.sh4
Tue Nov 24 04:45:46 2009: PRINTK /etc/rcS.d/S18.CONSOLE-SETUP-MINI4
Tue Nov 24 04:45:46 2009: PRINTK /etc/rcS.d/S19bootmisc.sh4
Tue Nov 24 04:45:46 2009: PRINTK /etc/rcS.d/S19urandom4
Tue Nov 24 04:45:46 2009: PRINTK /etc/rcS.d/S19fuse4
Tue Nov 24 04:45:46 2009: PRINTK /etc/rcS.d/S19lm-sensors4
Tue Nov 24 04:45:47 2009: PRINTK /etc/rcS.d/S20rc.boot4
Tue Nov 24 04:45:47 2009: PRINTK /etc/rcS.d/S20stop-bootlogd-single4
Tue Nov 24 04:45:47 2009: Setting sysfs variables...unknown attribute devices/system/cpu/cpu1/cpufreq/scaling_governor ... ^[[31mfailed!^[[39;49m

Hier wird nur die erste Zahl von printk angezeigt,
im bootscreen sehe ich jedoch alle 4 Zahlen.
Zu sehen ist, daß nach AUTOFSCK noch der default-Wert 7 gilt, nach procps dann aber 4.

Anmerkung:
Die Änderungen sollten md5-genau wieder zurückgebaut werden, sonst werden diese Skripte bei Upgrades nicht mit bearbeitet.
Die neuen Versionen würden dann als *.dpkg-new o.ä. in /etc/init.d/ entstehen.
(Algemein ist zu empfehlen, /etc gelegentlich nach *.dpkg-new / *.dpkg-old zu durchforsten.)
Also Kopien der Originale sichern, oder diese aus den entsprechenden Paketen wiederherstellen.



-----------
In dem entpackten Paket läßt sich eleganter mit einem Dateimanager wie mc rekursiv nach einem String suchen
als sich auf der Kommandozeile da durchzuhangeln.
'grep -r -l' wäre auch eine Möglichkeit.