Instalei psad em um servidor Ubuntu e configurei as regras correspondentes do iptables:
iptables -A INPUT -j LOG
iptables -A FORWARD -j LOG
No entanto, executando psad --Status , o psad não parece estar funcionando. Veja os registros:
[+] Version: psad v2.1.7
[+] Top 50 signature matches:
[NONE]
[+] Top 25 attackers:
[NONE]
[+] Top 20 scanned ports:
[NONE]
[+] iptables log prefix counters:
[NONE]
Total packet counters: tcp: 0, udp: 0, icmp: 0
[+] IP Status Detail:
[NONE]
Total scan sources: 0
Total scan destinations: 0
Eu também recebi este email:
[-] You may just need to add a default logging rule to the INPUT chain on
transportecabo. For more information, see the file "FW_HELP" in
the psad sources directory or visit:
http://www.cipherdyne.org/psad/docs/fwconfig.html
Como você pode ver, as regras do iptables estão corretas:
$ sudo iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
LOG all -- anywhere anywhere LOG level warning
Chain FORWARD (policy ACCEPT)
target prot opt source destination
LOG all -- anywhere anywhere LOG level warning
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Por que não está capturando nada?
Copiei todo o meu psad.conf no pastebin: link
Tags linux ubuntu-11.04