¿Por qué no se registran mis iptables?

tag-icon tag-icon 16.04 server iptables log logging
¿Por qué no se registran mis iptables?

Tengo un servidor Linux ejecutándose en Ubuntu 16.04. Hoy instalé PSAD, un sistema de detección de intrusos.

PSAD funciona analizando los archivos de registro de iptables. Entonces, lo primero que debe hacer antes de usar PSAD es habilitar el registro de iptables.

sudo iptables -A INPUT -j LOG
sudo iptables -A FORWARD -j LOG

Ejecuté un escaneo de puertos y luego llamé al estado de PSAD. Debería mostrar que se realizó una exploración de puertos, pero no se mostró nada. Sólo que aún no se ha realizado un escaneo de puertos.

Después de un tiempo me di cuenta de que iptables no registra. Ningún archivo de registro tiene registros de iptables. miré

  • /var/log/messages, donde deberían estar por defecto, pero el archivo está vacío
  • /var/log/kern.log
  • /var/log/syslog

No hay nada. Quizás valga la pena señalar que uso UFW. Seguí untutorial sobre PSAD y UFW, pero todavía no pasa nada. Tampoco hay registros en los archivos nuevos creados en el tutorial.

¿Cuál podría ser la razón? No he configurado el servidor por mi cuenta. Los aseguramientos más importantes se han hecho antes que yo. Quizás hayan eliminado algunos paquetes. Sería genial si pudieras ayudarme, el servidor tiene que ser seguro.

Respuesta1

Las reglas de las tablas de IP se aplican de arriba a abajo.

Cada vez que se aplica una regla a un paquete, se maneja según lo define la regla y (si no se configura de manera diferente) hace que se abandone la cadena de reglas.

Esto significa que si su regla LOG se coloca debajo de otras reglas, solo se aplicará a paquetes que NO eran manejados por las reglas anteriores.

Si, en cambio, desea REGISTRAR cada paquete, coloque la regla LOG en la parte superior de la cadena de reglas correspondiente.


Por cierto: el archivo de registro predeterminado para iptables está en/var/log/kern.log

Respuesta2

Probablemente el registro del kernel esté deshabilitado en (r)syslog. Agregue esto en el archivo /etc/rsyslog.conf: kern.warn /var/log/firewall.logy vuelva a cargar syslog.

Después, haz alguna regla como,iptables -A -p tcp --dport 22 -j LOG --log-prefix " ALERT " --log-level=warning

Y escanea tu puerto SSH.

Respuesta3

Descomentar la línea en /etc/rsyslog.conf:

module(load="imklog") # provides kernel logging support

Entonces corre

service rsyslog restart

Verifique el registro usando

tail -f /var/log/syslog

O:

date; stat /var/log/syslog

información relacionada