syslogのUFWチャンク - 私のサーバーに接続しようとするIPが異なる理由は何ですか?

tag-icon tag-icon networking security firewall ufw traffic
syslogのUFWチャンク - 私のサーバーに接続しようとするIPが異なる理由は何ですか?

まず、私はネットワーキングの専門家ではなく、いくつかのことを理解しようとしていることを明確にしたいと思います。ここで助けを受けてよりスマートになることを願っています。私はUbuntu 22.04 vpsでサービスをホストしています。このサービスはリバースプロキシマネージャの背後にあり、インターネット経由でアクセスできます。

/var/log/syslogを確認した後、さまざまなIPアドレスが任意のポートでTCPまたはUDPを使用してサーバーに接続しようとしていることがわかります。

たとえば、

Feb 27 15:38:24 srv-ub kernel: [241679.951328] [UFW BLOCK] IN=eth0 OUT= MAC=... SRC=x.163.125.213 DST=xx.xx.xx.231 LEN=44 TOS=0x08 PREC=0x20 TTL=242 ID=14405 PROTO=TCP SPT=42436 DPT=21297 WINDOW=14600 RES=0x00 SYN URGP=0
Feb 27 15:39:09 srv-ub kernel: [241686.038366] [UFW BLOCK] IN=eth0 OUT= MAC=... SRC=x.49.149.1 DST=xx.xx.xx.231 LEN=36 TOS=0x00 PREC=0x00 TTL=245 ID=19849 DF PROTO=UDP SPT=4086 DPT=123 LEN=16
Feb 27 15:39:27 srv-ub kernel: [241703.765119] [UFW BLOCK] IN=eth0 OUT= MAC=... SRC=x.136.225.9 DST=xx.xx.xx.231 LEN=44 TOS=0x00 PREC=0x00 TTL=109 ID=0 PROTO=TCP SPT=62985 DPT=9300 WINDOW=29200 RES=0x00 SYN URGP=0

中国、ブルガリア、キプロスなど、さまざまなIPとさまざまな国でより多くの試みがあります。 (私はwhoisを使って確認します)

私のUFWルールは次のとおりです。

Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing), deny (routed)
New profiles: skip

To                         Action      From
--                         ------      ----
22                         ALLOW IN    Anywhere
443                        ALLOW IN    Anywhere
8080                       ALLOW IN    Anywhere
80/tcp                     ALLOW IN    Anywhere
21/tcp                     DENY IN     Anywhere
22 (v6)                    ALLOW IN    Anywhere (v6)
443 (v6)                   ALLOW IN    Anywhere (v6)
8080 (v6)                  ALLOW IN    Anywhere (v6)
80/tcp (v6)                ALLOW IN    Anywhere (v6)
21/tcp (v6)                DENY IN     Anywhere (v6)

私の質問は:これが通常のトラフィックですか、それとも誰かが私のサーバーにアクセスしようとしているのですか?これについて私がすべきことはありますか?

お時間をいただきありがとうございます。

ベストアンサー1

これは正常な交通ですか?

はい。

それとも誰かが私のサーバーにアクセスしようとしていますか?

はい。パブリックIPv4アドレスを持つすべてのコンピュータは、悪意のあるボットネットによって1日に数百回スキャンされます。

これについて私がすべきことはありますか?

すべてのシステムと同様に、SSHパスワードログインを無効にし、インターネットに積極的に公開される必要のないサービスを実行しないでください。特に、ポート8080が完全に開いており、22、443、8080がTCPに制限されないという事実は、問題が発生せず、できるだけしっかりとロックされていることを示しています。

ポート 21 は FTP であり、暗号化されません。今は1993年ではなく2023年です。インターネットに公開されているFTPサーバーを運営する理由はまったくありません。 FTPは古いプロトコルであり、安全ではなく、別々のデータを開いて別のポートで接続を制御する傾向があるため、とにかくファイアウォールの背後に安全に設定するのが最善です。文字エンコーディングは標準化されておらず、ディレクトリリスト形式でもあいまいです。したがって、それを使用してリスト可能なディレクトリを提供したり、サードパーティがアップロードする場所を提供したりするために使用しないでください。暗号化されていない認証を使用して接続することは本質的に安全ではありません。

幅広いサポートを提供するいくつかの競合プロトコルがあります。ウェブの世界ではwebDAVが多少人気があり、クラウドの世界にはAWS S3プロトコル/ REST APIの複数のFOSS実装があります。他の人がファイルをダウンロードできるソフトウェアストアが必要な場合は、より簡単な解決策があります。

おすすめ記事