我发现我家网络上的一台计算机 (192.168.1.60) 正在尝试访问我主计算机 (192.168.1.253) 的端口 631。我没有执行任何打印。我想知道是否存在安全问题。
这是来自 /var/log/ufw.log 的内容。它自 2021 年 8 月 3 日起发生。
Aug 30 09:57:19 skunkworks kernel: [ 3150.549098] [UFW BLOCK] IN=enp1s0f0 OUT= MAC=10:dd:b1:ea:b8:8b:74:e5:0b:39:e8:20:08:00 SRC=192.168.1.60 DST=192.168.1.253 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=52383 DF PROTO=TCP SPT=32864 DPT=631 WINDOW=64240 RES=0x00 SYN URGP=0
Aug 30 09:57:21 skunkworks kernel: [ 3152.832252] [UFW BLOCK] IN=enp1s0f0 OUT= MAC=10:dd:b1:ea:b8:8b:74:e5:0b:39:e8:20:08:00 SRC=192.168.1.60 DST=192.168.1.253 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=9216 DF PROTO=TCP SPT=32866 DPT=631 WINDOW=64240 RES=0x00 SYN URGP=0
Aug 30 09:57:22 skunkworks kernel: [ 3153.845528] [UFW BLOCK] IN=enp1s0f0 OUT= MAC=10:dd:b1:ea:b8:8b:74:e5:0b:39:e8:20:08:00 SRC=192.168.1.60 DST=192.168.1.253 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=9217 DF PROTO=TCP SPT=32866 DPT=631 WINDOW=64240 RES=0x00 SYN URGP=0
Aug 30 09:57:25 skunkworks kernel: [ 3156.221825] [UFW BLOCK] IN=enp1s0f0 OUT= MAC=10:dd:b1:ea:b8:8b:74:e5:0b:39:e8:20:08:00 SRC=192.168.1.60 DST=192.168.1.253 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=38839 DF PROTO=TCP SPT=32870 DPT=631 WINDOW=64240 RES=0x00 SYN URGP=0
Aug 30 09:57:26 skunkworks kernel: [ 3157.223484] [UFW BLOCK] IN=enp1s0f0 OUT= MAC=10:dd:b1:ea:b8:8b:74:e5:0b:39:e8:20:08:00 SRC=192.168.1.60 DST=192.168.1.253 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=38840 DF PROTO=TCP SPT=32870 DPT=631 WINDOW=64240 RES=0x00 SYN URGP=0
Aug 30 09:57:28 skunkworks kernel: [ 3159.735831] [UFW BLOCK] IN=enp1s0f0 OUT= MAC=10:dd:b1:ea:b8:8b:74:e5:0b:39:e8:20:08:00 SRC=192.168.1.60 DST=192.168.1.253 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=59238 DF PROTO=TCP SPT=32874 DPT=631 WINDOW=64240 RES=0x00 SYN URGP=0
Aug 30 09:57:29 skunkworks kernel: [ 3160.760546] [UFW BLOCK] IN=enp1s0f0 OUT= MAC=10:dd:b1:ea:b8:8b:74:e5:0b:39:e8:20:08:00 SRC=192.168.1.60 DST=192.168.1.253 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=59239 DF PROTO=TCP SPT=32874 DPT=631 WINDOW=64240 RES=0x00 SYN URGP=0
192.168.1.60 启动时首次观察到此流量,前任何用户登录后也会随机发生这种情况。
Ufw 阻止了它。我没有在 192.168.1.60 上执行任何打印机活动。它没有配置本地、USB 或网络打印机。192.168.1.253 确实有共享打印机,但它位于防火墙后面。(共享它是为了从本地虚拟机打印)。
此活动是否表明 192.168.1.60 可能已被破解?
192.168.1.60 可能只是试图发现网络上的打印机?
两台电脑都是Ubuntu 20.04.3。这是192.168.1.253的防火墙:
Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing), disabled (routed)
New profiles: skip
To Action From
-- ------ ----
224.0.0.1 DENY IN Anywhere
ff02::1 DENY IN Anywhere (v6)
Anywhere DENY OUT 224.0.0.1
Anywhere (v6) DENY OUT ff02::1
答案1
最有可能的是,该机器正在(非恶意地)尝试发现网络上的打印机。
端口 631 确实是打印/CUPS。使用 cups,一台机器可以与使用相同端口 631 的其他机器“共享”一台打印机。
让 xxx60 机器继续寻找打印机是安全的。所用的网络带宽量微不足道。
或者,您可以更改 xxx60 机器的 CUPS 设置以停止扫描。
如果 xxx60 机器不进行任何打印,您也可以简单地停止该机器上的 CUPS 服务。要永久阻止 cups 在启动时启动,请参阅https://unix.stackexchange.com/questions/480082/how-to-disable-cups-service-on-reboot-with-systemd
sudo systemctl stop cups.service // Stop once