Por que meu log do iptables não?

Navegue suas respostas
1

Eu tenho um servidor linux rodando no Ubuntu 16.04. Hoje eu instalei o PSAD, um sistema de detecção de intrusão.

O PSAD funciona analisando os arquivos de log do iptables. Então, a primeira coisa a fazer antes de usar o PSAD é habilitar o registro do iptables. 

sudo iptables -A INPUT -j LOG
sudo iptables -A FORWARD -j LOG

Eu executei uma varredura de porta e chamei o status PSAD depois. Ele deve mostrar que uma varredura de porta ocorreu, mas nada foi exibido. Só que ainda não houve uma varredura de portas.

Depois de algum tempo, percebi que o iptables não está logando. Nenhum arquivo de log possui logs do iptables. Eu olhei para

  • /var/log/messages , onde devem estar por padrão, mas o arquivo está vazio
  • /var/log/kern.log
  • /var/log/syslog

Não há nada. Talvez seja interessante notar que eu uso o UFW. Eu segui um tutorial sobre PSAD e UFW , mas ainda assim nada acontece. Não há registros nos novos arquivos, criados no tutorial.

Qual poderia ser o motivo? Eu não configurei o servidor sozinho. As proteções mais importantes foram feitas antes de mim. Talvez eles tenham removido alguns pacotes. Seria ótimo se você pudesse me ajudar, o servidor tem que ser seguro.

    
por Noah Krasser 25.07.2017 / 12:56

3 respostas

2

As regras nas tabelas de IP são aplicadas de cima para baixo.

Sempre que uma regra se aplica a um pacote, ela é tratada como a regra define e (se não configurada diferente) faz com que a cadeia de regras seja deixada.

Isso significa que, se sua regra de LOG for colocada abaixo de outras regras, ela será aplicada somente a pacotes que NÃO foram manipulados pelas regras anteriores.

Se em vez disso você quiser LOG cada pacote, coloque a regra LOG no topo da cadeia de regras acchording.


A propósito: O arquivo de log padrão para o iptables está em /var/log/kern.log

    
por derHugo 25.07.2017 / 16:34
1

Provavelmente, o log do kernel está desabilitado no (r) syslog. Adicione isto no arquivo /etc/rsyslog.conf: kern.warn /var/log/firewall.log e recarregue o syslog.

Depois, crie uma regra como iptables -A -p tcp --dport 22 -j LOG --log-prefix " ALERT " --log-level=warning

E examine sua porta SSH.

    
por fugitive 25.07.2017 / 13:36
0

Remova o comentário da linha em /etc/rsyslog.conf : 

module(load="imklog") # provides kernel logging support

Em seguida, execute 

service rsyslog restart

Verifique o log usando 

tail -f /var/log/syslog

OR: 

date; stat /var/log/syslog
    
por KęstutisV 25.04.2018 / 13:55
Não é possível mudar para o gdm3 usando o sudo dpkg-reconfigure gdm3 Transferir configurações de local do meu computador para um ssh