Для работы PSAD мне нужно добавить следующие правила iptables и включить ведение журнала пакетов:
iptables -A INPUT -j LOG
iptables -A FORWARD -j LOG
ip6tables -A INPUT -j LOG
ip6tables -A FORWARD -j LOG
Я использую UFW в своей системе. Итак, как мне добавить эти правила с помощью UFW?
решение1
Ты тольковключить ведение журнала.
sudo ufw logging on
решение2
Как сказано в постере выше, вам необходимо включить ведение журнала с помощью команды
sudo ufw logging on
Но я обнаружил, что мне все еще нужно добавить правила iptables. Чтобы сделать это, выполните каждую из команд ниже (обратите внимание, что вы должны иметь sudoвпереди)
sudo iptables -A INPUT -j LOG
sudo iptables -A FORWARD -j LOG
sudo ip6tables -A INPUT -j LOG
sudo ip6tables -A FORWARD -j LOG
решение3
Вам нужно добавить дополнительные правила в ufw, чтобы удовлетворить psad. Отредактируйте следующие два файла:
sudo vi /etc/ufw/before.rules
sudo vi /etc/ufw/before6.rules
Для обоих файлов, перечисленных выше,добавьте следующие строкидля psad, в самом конце, нодо COMMIT
# custom logging directives for psad
-A INPUT -j LOG
-A FORWARD -j LOG
# don't delete the 'COMMIT' line or these rules won't be processed
COMMIT
Далее перезапустите ufw
sudo ufw disable
sudo ufw enable
а затем проверьте, сработало ли это с
sudo psad --fw-analyze
[+] Parsing /sbin/iptables INPUT chain rules.
[+] Parsing /sbin/ip6tables INPUT chain rules.
[+] Firewall config looks good.
[+] Completed check of firewall ruleset.
[+] Results in /var/log/psad/fw_check
[+] Exiting.
Вот и все. Читайте больше советов и рекомендаций накак настроить PSAD с UFW
решение4
Как сказал darronz, вам все равно придется добавлять правила iptable. Поскольку вы используете ufw, самый простой способ создания постоянных правил — это отредактировать /etc/ufw/before.rulesи /etc/ufw/before6.rulesдобавить следующие строки
-A INPUT -j LOG
-A FORWARD -j LOG
в конце, но перед COMMIT.