Para que PSAD funcione, necesito agregar las siguientes reglas de iptables y habilitar el registro de paquetes:
iptables -A INPUT -j LOG
iptables -A FORWARD -j LOG
ip6tables -A INPUT -j LOG
ip6tables -A FORWARD -j LOG
Utilizo UFW en mi sistema. Entonces, ¿cómo puedo agregar estas reglas con UFW?
Respuesta1
tu solohabilitar el registro.
sudo ufw logging on
Respuesta2
Como dice el cartel de arriba, deberá habilitar el registro con el comando
sudo ufw logging on
Pero descubrí que todavía necesitaba agregar las reglas de iptables. Para hacer esto ejecute cada uno de los siguientes comandos (tenga en cuenta que debe tenerlos sudoal frente)
sudo iptables -A INPUT -j LOG
sudo iptables -A FORWARD -j LOG
sudo ip6tables -A INPUT -j LOG
sudo ip6tables -A FORWARD -j LOG
Respuesta3
Debe agregar reglas adicionales a ufw para satisfacer psad. Edite los siguientes dos archivos:
sudo vi /etc/ufw/before.rules
sudo vi /etc/ufw/before6.rules
A los dos archivos enumerados anteriormente,agregar las siguientes líneaspor psad, al final, peroantes COMMIT
# custom logging directives for psad
-A INPUT -j LOG
-A FORWARD -j LOG
# don't delete the 'COMMIT' line or these rules won't be processed
COMMIT
Próximo reinicio ufw
sudo ufw disable
sudo ufw enable
y luego verifique si funcionó con
sudo psad --fw-analyze
[+] Parsing /sbin/iptables INPUT chain rules.
[+] Parsing /sbin/ip6tables INPUT chain rules.
[+] Firewall config looks good.
[+] Completed check of firewall ruleset.
[+] Results in /var/log/psad/fw_check
[+] Exiting.
Eso es todo. Lea más consejos y trucos sobrecómo configurar PSAD con UFW
Respuesta4
Como mencionó Darronz, todavía tienes que agregar reglas de iptable. Como está utilizando ufw, la forma más sencilla de crear reglas persistentes sería editar /etc/ufw/before.rulesy /etc/ufw/before6.rulesagregar las siguientes líneas
-A INPUT -j LOG
-A FORWARD -j LOG
al final, pero antes del COMMIT.