Вопросы Теги

Почему мои iptables не регистрируются?

У меня есть сервер Linux, работающий на Ubuntu 16.04. Сегодня я установил PSAD, Систему обнаружения проникновения.

PSAD работает путем анализа файлов журнала iptables. Так, первое, что нужно сделать перед использованием PSAD позволяет регистрироваться iptables.

sudo iptables -A INPUT -j LOG
sudo iptables -A FORWARD -j LOG

Я выполнил сканирование портов и назвал состояние PSAD впоследствии. Это должно отобразить это, сканирование портов произошло, но ничто не было отображено. Просто то, что еще не было сканирования портов.

Через какое-то время я понял, iptables не регистрируется. Никакой файл журнала не имеет iptables, входит в систему он. Я изучил

  • /var/log/messages, где они должны быть в по умолчанию, но файл пуст
  • /var/log/kern.log
  • /var/log/syslog

Нет ничего. Возможно, стоит отметить, что я использую UFW. Я следовал учебному руководству о PSAD и UFW, но тем не менее ничего не происходит. Нет входит в систему новые файлы, созданные в учебном руководстве также.

Какова могла быть причина? Я не настроил сервер самостоятельно. Самое важное обеспечение было сделано передо мной. Возможно, они удалили некоторые пакеты. Было бы замечательно, если Вы могли бы помочь мне, сервер должен быть защищенным.

1
задан 25 July 2017 в 14:01

3 ответа

Правила в таблицах IP применяются сверху донизу.

В любое время правила относятся к пакету, он обрабатывается, поскольку правило определяет, и (если не настроенный отличающийся) вызывает для отъезда цепочки правила.

Это означает, помещается ли Ваше правило ЖУРНАЛА ниже других правил, оно будет только относиться к пакетам который где НЕ обработанный правилами прежде.

Если вместо этого Вы хотите ЗАРЕГИСТРИРОВАТЬ каждый пакет, поместить правило ЖУРНАЛА сверху цепочки правила acchording.


Между прочим: файл журнала по умолчанию для iptables находится в /var/log/kern.log

2
ответ дан 7 December 2019 в 12:32

Вероятно, вход ядра отключен в (r) системном журнале. Добавьте это в/etc/rsyslog.conf файле: kern.warn /var/log/firewall.log и системный журнал перезагрузки.

После, сделайте некоторое правило как, iptables -A -p tcp --dport 22 -j LOG --log-prefix " ALERT " --log-level=warning

И просканируйте свой порт SSH.

1
ответ дан 7 December 2019 в 12:32

Не прокомментируйте строку в /etc/rsyslog.conf: 

module(load="imklog") # provides kernel logging support

Затем выполненный

service rsyslog restart

Проверьте использование журнала

tail -f /var/log/syslog

ИЛИ: 

date; stat /var/log/syslog
0
ответ дан 7 December 2019 в 12:32

Другие вопросы по тегам:

Похожие вопросы: