Damit PSAD funktioniert, muss ich die folgenden iptables-Regeln hinzufügen und die Paketprotokollierung aktivieren:
iptables -A INPUT -j LOG
iptables -A FORWARD -j LOG
ip6tables -A INPUT -j LOG
ip6tables -A FORWARD -j LOG
Ich verwende UFW auf meinem System. Wie kann ich diese Regeln mit UFW hinzufügen?
Antwort1
Sie geradeAktiviere das Logging.
sudo ufw logging on
Antwort2
Wie der Poster oben sagt, müssen Sie die Protokollierung mit dem Befehl aktivieren
sudo ufw logging on
Aber ich habe festgestellt, dass ich noch die iptables-Regeln hinzufügen muss. Führen Sie dazu jeden der folgenden Befehle aus (beachten Sie, dass Sie sudodavor stehen müssen).
sudo iptables -A INPUT -j LOG
sudo iptables -A FORWARD -j LOG
sudo ip6tables -A INPUT -j LOG
sudo ip6tables -A FORWARD -j LOG
Antwort3
Sie müssen ufw zusätzliche Regeln hinzufügen, um psad zu erfüllen. Bearbeiten Sie die folgenden beiden Dateien:
sudo vi /etc/ufw/before.rules
sudo vi /etc/ufw/before6.rules
Zu den beiden oben aufgeführten Dateien,füge folgende Zeilen hinzufür psad, ganz am Ende, aberVor COMMIT
# custom logging directives for psad
-A INPUT -j LOG
-A FORWARD -j LOG
# don't delete the 'COMMIT' line or these rules won't be processed
COMMIT
Als nächstes ufw neu starten
sudo ufw disable
sudo ufw enable
und dann prüfen, ob es funktioniert hat mit
sudo psad --fw-analyze
[+] Parsing /sbin/iptables INPUT chain rules.
[+] Parsing /sbin/ip6tables INPUT chain rules.
[+] Firewall config looks good.
[+] Completed check of firewall ruleset.
[+] Results in /var/log/psad/fw_check
[+] Exiting.
Das ist alles. Weitere Tipps und Tricks finden Sie unterSo konfigurieren Sie PSAD mit UFW
Antwort4
Wie darronz erwähnt hat, müssen Sie noch iptable-Regeln hinzufügen. Da Sie ufw verwenden, können Sie persistente Regeln am einfachsten erstellen, indem Sie die folgenden Zeilen bearbeiten /etc/ufw/before.rulesund hinzufügen./etc/ufw/before6.rules
-A INPUT -j LOG
-A FORWARD -j LOG
am Ende, aber vor dem COMMIT.