У меня есть Debian 10 с установленным UFW. Я хочу знать пользователя или uid процессов соединений, которые регистрируются UFW. Чтобы зарегистрировать UID, я добавил --log-uid к правилам входа в /etc/ufw/user.rules:
### ВЕДЕНИЕ ЖУРНАЛА ###
-A ufw-after-log-input -j LOG --log-uid --log-prefix "[UFW BLOCK]" -m limit --limit 3/min --limit-burst 10
-A ufw-after-log-output -j LOG --log-uid --log-prefix "[UFW BLOCK] " -m limit --limit 3/min --limit-burst 10
-A ufw-after-log-forward -j LOG --log-uid --log-prefix "[UFW BLOCK]" -m limit --limit 3/min --limit-burst 10
-A ufw-logging-deny -m conntrack --ctstate INVALID -j LOG --log-uid --log-prefix "[UFW AUDIT INVALID]" -m limit --limit 3/min --limit-burst 10
-A ufw-logging-deny -j LOG --log-uid --log-prefix "[UFW BLOCK] " -m limit --limit 3/min --limit-burst 10
-A ufw-logging-allow -j LOG --log-uid --log-prefix "[UFW ALLOW] " -m limit --limit 3/мин --limit-burst 10
-I ufw-before-log-input -j LOG --log-uid --log-prefix "[UFW AUDIT]" -m conntrack --ctstate NEW -m limit --limit 3/min --limit-burst 10
-I ufw-before-log-output -j LOG --log-uid --log-prefix "[UFW AUDIT]" -m conntrack --ctstate NEW -m limit --limit 3/min --limit-burst 10
-I ufw-before-loging-forward -j LOG --log-uid --log-prefix "[UFW AUDIT]" -m conntrack --ctstate NEW -m limit --limit 3/min --limit-burst 10
### КОНЕЦ РЕГИСТРАЦИИ ###
Если перезапустить ufw(systemctl перезапустить ufw) и загляните в /etc/ufw/user.rules мой добавленный --log-uid все еще там. Но через некоторое время эта опция будет удалена автоматически, и вывод журнала UFW не будет содержать UID. Итак, мой вопрос: как правильно добавить --log-uid постоянно?
