Вопросы Теги

Почему у меня в iptables лог?

У меня есть Linux-сервер, работающий на Ubuntu 16.04. Сегодня я установил PSAD, систему обнаружения вторжений.

PSAD работает, анализируя лог-файлы iptables. Итак, первое, что нужно сделать перед использованием PSAD, - это включить ведение журнала iptables.

sudo iptables -A INPUT -j LOG sudo iptables -A FORWARD -j LOG

Я выполнил сканирование портов и после этого назвал статус PSAD. Он должен показать, что произошло сканирование портов, но ничего не отображалось. Просто, что еще не было сканирования портов.

Через некоторое время я понял, что iptables не регистрируется. В log-файле нет iptables. Я посмотрел на

/var/log/messages, где они должны быть по умолчанию, но файл пуст /var/log/kern.log /var/log/syslog

Нет ничего. Может быть, стоит отметить, что я использую UFW. Я последовал за учебником о PSAD и UFW, но до сих пор ничего не происходит. Нет никаких журналов в новых файлах, созданных в учебнике.

В чем может быть причина? Я не создал сервер самостоятельно. Важнейшие вопросы безопасности были сделаны передо мной. Возможно, они удалили несколько пакетов. Было бы здорово, если бы вы могли мне помочь, сервер должен быть в безопасности.

1
задан 25 July 2017 в 14:01

9 ответов

Правила в таблицах IP применяются сверху вниз.

В любое время, когда правила применяются к пакету, который обрабатывается по мере определения правила и (если не настроен на разные), необходимо оставить цепочку правил. [ ! d1]

Это означает, что если ваше правило журнала помещено ниже других правил, оно применимо только к пакетам, в которых НЕ обрабатывается правилами ранее.

Если вместо этого вы хотите вносить в журнал каждый пакет, правило LOG над цепочкой правил передачи.

Кстати: файл журнала по умолчанию для iptables находится в /var/log/kern.log

2
ответ дан 22 May 2018 в 20:12

Правила в таблицах IP применяются сверху вниз.

В любое время, когда правила применяются к пакету, который обрабатывается по мере определения правила и (если не настроен на разные), необходимо оставить цепочку правил. [ ! d1]

Это означает, что если ваше правило журнала помещено ниже других правил, оно применимо только к пакетам, в которых НЕ обрабатывается правилами ранее.

Если вместо этого вы хотите вносить в журнал каждый пакет, правило LOG над цепочкой правил передачи.

Кстати: файл журнала по умолчанию для iptables находится в /var/log/kern.log

2
ответ дан 18 July 2018 в 09:43

Правила в таблицах IP применяются сверху вниз.

В любое время, когда правила применяются к пакету, который обрабатывается по мере определения правила и (если не настроен на разные), необходимо оставить цепочку правил. [ ! d1]

Это означает, что если ваше правило журнала помещено ниже других правил, оно применимо только к пакетам, в которых НЕ обрабатывается правилами ранее.

Если вместо этого вы хотите вносить в журнал каждый пакет, правило LOG над цепочкой правил передачи.

Кстати: файл журнала по умолчанию для iptables находится в /var/log/kern.log

2
ответ дан 24 July 2018 в 19:24

Вероятно, ведение журнала ядра отключено в (r) syslog. Добавьте это в файл /etc/rsyslog.conf: kern.warn /var/log/firewall.log и перезагрузите syslog.

После этого сделайте некоторое правило вроде iptables -A -p tcp --dport 22 -j LOG --log-prefix " ALERT " --log-level=warning

И сканируйте свой SSH-порт.

1
ответ дан 22 May 2018 в 20:12

Раскомментируйте строку в /etc/rsyslog.conf: 

module(load="imklog") # provides kernel logging support

Затем запустите 

service rsyslog restart

Проверьте журнал, используя 

tail -f /var/log/syslog

ИЛИ: [ ! d3] 

date; stat /var/log/syslog
0
ответ дан 22 May 2018 в 20:12

Раскомментируйте строку в /etc/rsyslog.conf:

module(load="imklog") # provides kernel logging support

Затем запустите

service rsyslog restart

Проверьте журнал, используя

tail -f /var/log/syslog

ИЛИ: [ ! d3] date; stat /var/log/syslog

0
ответ дан 18 July 2018 в 09:43

Вероятно, ведение журнала ядра отключено в (r) syslog. Добавьте это в файл /etc/rsyslog.conf: kern.warn /var/log/firewall.log и перезагрузите syslog.

После этого сделайте некоторое правило вроде iptables -A -p tcp --dport 22 -j LOG --log-prefix " ALERT " --log-level=warning

И сканируйте свой SSH-порт.

1
ответ дан 18 July 2018 в 09:43

Раскомментируйте строку в /etc/rsyslog.conf:

module(load="imklog") # provides kernel logging support

Затем запустите

service rsyslog restart

Проверьте журнал, используя

tail -f /var/log/syslog

ИЛИ: [ ! d3] date; stat /var/log/syslog

0
ответ дан 24 July 2018 в 19:24

Вероятно, ведение журнала ядра отключено в (r) syslog. Добавьте это в файл /etc/rsyslog.conf: kern.warn /var/log/firewall.log и перезагрузите syslog.

После этого сделайте некоторое правило вроде iptables -A -p tcp --dport 22 -j LOG --log-prefix " ALERT " --log-level=warning

И сканируйте свой SSH-порт.

1
ответ дан 24 July 2018 в 19:24

Другие вопросы по тегам:

Похожие вопросы: