為了讓 PSAD 運作,我需要新增以下 iptables 規則並啟用封包日誌記錄:
iptables -A INPUT -j LOG
iptables -A FORWARD -j LOG
ip6tables -A INPUT -j LOG
ip6tables -A FORWARD -j LOG
我在我的系統上使用 UFW。那麼,如何使用 UFW 新增這些規則呢?
答案1
你剛才啟用日誌記錄。
sudo ufw logging on
答案2
正如上面的海報所說,您需要使用以下命令啟用日誌記錄
sudo ufw logging on
但我發現我還需要加入iptables規則。為此,請執行以下每個命令(請注意,您必須sudo在前面)
sudo iptables -A INPUT -j LOG
sudo iptables -A FORWARD -j LOG
sudo ip6tables -A INPUT -j LOG
sudo ip6tables -A FORWARD -j LOG
答案3
您需要為ufw新增額外的規則來滿足psad。編輯以下兩個文件:
sudo vi /etc/ufw/before.rules
sudo vi /etc/ufw/before6.rules
對於上面列出的兩個文件,新增以下行對於 psad,在最後,但是前 COMMIT
# custom logging directives for psad
-A INPUT -j LOG
-A FORWARD -j LOG
# don't delete the 'COMMIT' line or these rules won't be processed
COMMIT
下次重啟ufw
sudo ufw disable
sudo ufw enable
然後檢查它是否適用於
sudo psad --fw-analyze
[+] Parsing /sbin/iptables INPUT chain rules.
[+] Parsing /sbin/ip6tables INPUT chain rules.
[+] Firewall config looks good.
[+] Completed check of firewall ruleset.
[+] Results in /var/log/psad/fw_check
[+] Exiting.
就是這樣。閱讀更多提示和技巧如何使用 UFW 設定 PSAD
答案4
就像 darronz 提到的,你仍然需要加入 iptable 規則。當您使用 ufw 時,建立持久規則的最簡單方法是編輯/etc/ufw/before.rules並/etc/ufw/before6.rules新增以下行
-A INPUT -j LOG
-A FORWARD -j LOG
在最後,但在 之前COMMIT。