Por que meu iptables não registra?

tag-icon tag-icon 16.04 server iptables log logging
Por que meu iptables não registra?

Eu tenho um servidor Linux rodando no Ubuntu 16.04. Hoje instalei o PSAD, um Sistema de Detecção de Intrusão.

PSAD funciona analisando os arquivos de log do iptables. Portanto, a primeira coisa a fazer antes de usar o PSAD é habilitar o log do iptables.

sudo iptables -A INPUT -j LOG
sudo iptables -A FORWARD -j LOG

Executei uma varredura de porta e depois liguei para o status do PSAD. Deveria ser exibido que ocorreu uma varredura de porta, mas nada foi exibido. Só que ainda não houve uma varredura de porta.

Depois de algum tempo, percebi que o iptables não está registrando. Nenhum arquivo de log contém logs do iptables. Eu olhei para

  • /var/log/messages, onde deveriam estar por padrão, mas o arquivo está vazio
  • /var/log/kern.log
  • /var/log/syslog

Não há nada. Talvez valha a pena notar que eu uso o UFW. Eu segui umtutorial sobre PSAD e UFW, mas ainda assim nada acontece. Também não há registros nos novos arquivos, criados no tutorial.

Qual seria a razão? Não configurei o servidor sozinho. As garantias mais importantes foram feitas antes de mim. Talvez eles tenham removido alguns pacotes. Seria ótimo se você pudesse me ajudar, o servidor tem que ser seguro.

Responder1

As regras nas tabelas IP são aplicadas de cima para baixo.

Sempre que uma regra se aplica a um pacote, ela é tratada conforme a regra define e (se não for configurada de forma diferente) faz com que ela saia da cadeia de regras.

Isso significa que se sua regra LOG for colocada abaixo de outras regras, ela só se aplicará a pacotes que NÃO foram tratados pelas regras antes.

Se, em vez disso, você quiser LOG cada pacote, coloque a regra LOG no topo da cadeia de regras correspondente.


A propósito: O arquivo de log padrão para iptables está em/var/log/kern.log

Responder2

Provavelmente o log do kernel está desabilitado no (r)syslog. Adicione isto no arquivo /etc/rsyslog.conf: kern.warn /var/log/firewall.loge recarregue o syslog.

Depois, faça alguma regra como,iptables -A -p tcp --dport 22 -j LOG --log-prefix " ALERT " --log-level=warning

E verifique sua porta SSH.

Responder3

Remova o comentário da linha /etc/rsyslog.conf:

module(load="imklog") # provides kernel logging support

Então corra

service rsyslog restart

Verifique o registro usando

tail -f /var/log/syslog

OU:

date; stat /var/log/syslog

informação relacionada