У меня есть сервер Linux, работающий на Ubuntu 16.04. Сегодня я установил PSAD, Систему обнаружения проникновения.
PSAD работает путем анализа файлов журнала iptables. Так, первое, что нужно сделать перед использованием PSAD позволяет регистрироваться iptables.
sudo iptables -A INPUT -j LOG
sudo iptables -A FORWARD -j LOG
Я выполнил сканирование портов и назвал состояние PSAD впоследствии. Это должно отобразить это, сканирование портов произошло, но ничто не было отображено. Просто то, что еще не было сканирования портов.
Через какое-то время я понял, iptables не регистрируется. Никакой файл журнала не имеет iptables, входит в систему он. Я изучил
/var/log/messages
, где они должны быть в по умолчанию, но файл пуст/var/log/kern.log
/var/log/syslog
Нет ничего. Возможно, стоит отметить, что я использую UFW. Я следовал учебному руководству о PSAD и UFW, но тем не менее ничего не происходит. Нет входит в систему новые файлы, созданные в учебном руководстве также.
Какова могла быть причина? Я не настроил сервер самостоятельно. Самое важное обеспечение было сделано передо мной. Возможно, они удалили некоторые пакеты. Было бы замечательно, если Вы могли бы помочь мне, сервер должен быть защищенным.
Правила в таблицах IP применяются сверху донизу.
В любое время правила относятся к пакету, он обрабатывается, поскольку правило определяет, и (если не настроенный отличающийся) вызывает для отъезда цепочки правила.
Это означает, помещается ли Ваше правило ЖУРНАЛА ниже других правил, оно будет только относиться к пакетам который где НЕ обработанный правилами прежде.
Если вместо этого Вы хотите ЗАРЕГИСТРИРОВАТЬ каждый пакет, поместить правило ЖУРНАЛА сверху цепочки правила acchording.
Между прочим: файл журнала по умолчанию для iptables находится в /var/log/kern.log
Вероятно, вход ядра отключен в (r) системном журнале. Добавьте это в/etc/rsyslog.conf файле: kern.warn /var/log/firewall.log
и системный журнал перезагрузки.
После, сделайте некоторое правило как, iptables -A -p tcp --dport 22 -j LOG --log-prefix " ALERT " --log-level=warning
И просканируйте свой порт SSH.
Не прокомментируйте строку в /etc/rsyslog.conf
:
module(load="imklog") # provides kernel logging support
Затем выполненный
service rsyslog restart
Проверьте использование журнала
tail -f /var/log/syslog
ИЛИ:
date; stat /var/log/syslog