Você apenas ativa o registro .
sudo ufw logging on
Para o PSAD funcionar, eu preciso adicionar as seguintes regras do iptables e ativar o registro de pacotes:
iptables -A INPUT -j LOG
iptables -A FORWARD -j LOG
ip6tables -A INPUT -j LOG
ip6tables -A FORWARD -j LOG
Eu uso o UFW no meu sistema. Então, como posso adicionar essas regras ao UFW?
Você apenas ativa o registro .
sudo ufw logging on
Como o cartaz acima diz, você precisará habilitar o registro com o comando
sudo ufw logging on
Mas descobri que ainda precisava adicionar as regras do iptables. Para isso, execute cada um dos comandos abaixo (observe que você deve ter sudo na frente)
sudo iptables -A INPUT -j LOG
sudo iptables -A FORWARD -j LOG
sudo ip6tables -A INPUT -j LOG
sudo ip6tables -A FORWARD -j LOG
Você precisa adicionar regras extras ao ufw para satisfazer o psad. Edite os seguintes arquivos:
sudo vi /etc/ufw/before.rules
sudo vi /etc/ufw/before6.rules
Para os dois arquivos listados acima, adicione as seguintes linhas para psad, no final, mas antes COMMIT
# custom logging directives for psad
-A INPUT -j LOG
-A FORWARD -j LOG
# don't delete the 'COMMIT' line or these rules won't be processed
COMMIT
Em seguida, reinicie o ufw
sudo ufw disable
sudo ufw enable
e, em seguida, verifique se funcionou com
sudo psad --fw-analyze
[+] Parsing /sbin/iptables INPUT chain rules.
[+] Parsing /sbin/ip6tables INPUT chain rules.
[+] Firewall config looks good.
[+] Completed check of firewall ruleset.
[+] Results in /var/log/psad/fw_check
[+] Exiting.
É isso. Leia mais dicas e truques em como configurar o PSAD com o UFW
Como o darronz mencionou, você ainda precisa adicionar regras de iptable. Como você está usando o ufw, a maneira mais fácil de criar regras persistentes seria editar /etc/ufw/before.rules e /etc/ufw/before6.rules e adicionar as seguintes linhas
-A INPUT -j LOG
-A FORWARD -j LOG
no final, mas antes do COMMIT .