Para que o PSAD funcione, preciso adicionar as seguintes regras de iptables e ativar o registro de pacotes:
iptables -A INPUT -j LOG
iptables -A FORWARD -j LOG
ip6tables -A INPUT -j LOG
ip6tables -A FORWARD -j LOG
Eu uso UFW no meu sistema. Então, como posso adicionar essas regras ao UFW?
Responder1
Você apenasativar o registro em log.
sudo ufw logging on
Responder2
Como diz o pôster acima, você precisará habilitar o log com o comando
sudo ufw logging on
Mas descobri que ainda precisava adicionar as regras do iptables. Para fazer isso execute cada um dos comandos abaixo (observe que você deve ter sudona frente)
sudo iptables -A INPUT -j LOG
sudo iptables -A FORWARD -j LOG
sudo ip6tables -A INPUT -j LOG
sudo ip6tables -A FORWARD -j LOG
Responder3
Você precisa adicionar regras extras ao ufw para satisfazer o psad. Edite os dois arquivos a seguir:
sudo vi /etc/ufw/before.rules
sudo vi /etc/ufw/before6.rules
Para ambos os arquivos listados acima,adicione as seguintes linhaspara psad, bem no final, masantes COMMIT
# custom logging directives for psad
-A INPUT -j LOG
-A FORWARD -j LOG
# don't delete the 'COMMIT' line or these rules won't be processed
COMMIT
Próxima reinicialização ufw
sudo ufw disable
sudo ufw enable
e depois verifique se funcionou com
sudo psad --fw-analyze
[+] Parsing /sbin/iptables INPUT chain rules.
[+] Parsing /sbin/ip6tables INPUT chain rules.
[+] Firewall config looks good.
[+] Completed check of firewall ruleset.
[+] Results in /var/log/psad/fw_check
[+] Exiting.
É isso. Leia mais dicas e truques emcomo configurar PSAD com UFW
Responder4
Como Darronz mencionou, você ainda precisa adicionar regras de iptable. Como você está usando o ufw, a maneira mais fácil de criar regras persistentes seria editar /etc/ufw/before.rulese /etc/ufw/before6.rulesadicionar as seguintes linhas
-A INPUT -j LOG
-A FORWARD -j LOG
no final, mas antes do COMMIT.