У меня есть Linux-сервер, работающий на Ubuntu 16.04. Сегодня я установил PSAD, систему обнаружения вторжений.
PSAD работает, анализируя лог-файлы iptables. Итак, первое, что нужно сделать перед использованием PSAD, - это включить ведение журнала iptables.
sudo iptables -A INPUT -j LOG
sudo iptables -A FORWARD -j LOG
Я выполнил сканирование портов и после этого назвал статус PSAD. Он должен показать, что произошло сканирование портов, но ничего не отображалось. Просто, что еще не было сканирования портов.
Через некоторое время я понял, что iptables не регистрируется. В log-файле нет iptables. Я посмотрел на
/var/log/messages, где они должны быть по умолчанию, но файл пуст /var/log/kern.log /var/log/syslogНет ничего. Может быть, стоит отметить, что я использую UFW. Я последовал за учебником о PSAD и UFW, но до сих пор ничего не происходит. Нет никаких журналов в новых файлах, созданных в учебнике.
В чем может быть причина? Я не создал сервер самостоятельно. Важнейшие вопросы безопасности были сделаны передо мной. Возможно, они удалили несколько пакетов. Было бы здорово, если бы вы могли мне помочь, сервер должен быть в безопасности.
Правила в таблицах IP применяются сверху вниз.
В любое время, когда правила применяются к пакету, который обрабатывается по мере определения правила и (если не настроен на разные), необходимо оставить цепочку правил. [ ! d1]
Это означает, что если ваше правило журнала помещено ниже других правил, оно применимо только к пакетам, в которых НЕ обрабатывается правилами ранее.
Если вместо этого вы хотите вносить в журнал каждый пакет, правило LOG над цепочкой правил передачи.
Кстати: файл журнала по умолчанию для iptables находится в /var/log/kern.log
Правила в таблицах IP применяются сверху вниз.
В любое время, когда правила применяются к пакету, который обрабатывается по мере определения правила и (если не настроен на разные), необходимо оставить цепочку правил. [ ! d1]
Это означает, что если ваше правило журнала помещено ниже других правил, оно применимо только к пакетам, в которых НЕ обрабатывается правилами ранее.
Если вместо этого вы хотите вносить в журнал каждый пакет, правило LOG над цепочкой правил передачи.
Кстати: файл журнала по умолчанию для iptables находится в /var/log/kern.log
Правила в таблицах IP применяются сверху вниз.
В любое время, когда правила применяются к пакету, который обрабатывается по мере определения правила и (если не настроен на разные), необходимо оставить цепочку правил. [ ! d1]
Это означает, что если ваше правило журнала помещено ниже других правил, оно применимо только к пакетам, в которых НЕ обрабатывается правилами ранее.
Если вместо этого вы хотите вносить в журнал каждый пакет, правило LOG над цепочкой правил передачи.
Кстати: файл журнала по умолчанию для iptables находится в /var/log/kern.log
Вероятно, ведение журнала ядра отключено в (r) syslog. Добавьте это в файл /etc/rsyslog.conf: kern.warn /var/log/firewall.log и перезагрузите syslog.
После этого сделайте некоторое правило вроде iptables -A -p tcp --dport 22 -j LOG --log-prefix " ALERT " --log-level=warning
И сканируйте свой SSH-порт.
Раскомментируйте строку в /etc/rsyslog.conf:
module(load="imklog") # provides kernel logging support
Затем запустите
service rsyslog restart
Проверьте журнал, используя
tail -f /var/log/syslog
ИЛИ: [ ! d3]
date; stat /var/log/syslog
Раскомментируйте строку в /etc/rsyslog.conf:
module(load="imklog") # provides kernel logging support
Затем запустите
service rsyslog restart
Проверьте журнал, используя
tail -f /var/log/syslog
ИЛИ: [ ! d3] date; stat /var/log/syslog
Вероятно, ведение журнала ядра отключено в (r) syslog. Добавьте это в файл /etc/rsyslog.conf: kern.warn /var/log/firewall.log и перезагрузите syslog.
После этого сделайте некоторое правило вроде iptables -A -p tcp --dport 22 -j LOG --log-prefix " ALERT " --log-level=warning
И сканируйте свой SSH-порт.
Раскомментируйте строку в /etc/rsyslog.conf:
module(load="imklog") # provides kernel logging support
Затем запустите
service rsyslog restart
Проверьте журнал, используя
tail -f /var/log/syslog
ИЛИ: [ ! d3] date; stat /var/log/syslog
Вероятно, ведение журнала ядра отключено в (r) syslog. Добавьте это в файл /etc/rsyslog.conf: kern.warn /var/log/firewall.log и перезагрузите syslog.
После этого сделайте некоторое правило вроде iptables -A -p tcp --dport 22 -j LOG --log-prefix " ALERT " --log-level=warning
И сканируйте свой SSH-порт.