Чтобы PSAD работал, мне нужно добавить следующие правила iptables и включить ведение журнала пакетов:
iptables -A INPUT -j LOG
iptables -A FORWARD -j LOG
ip6tables -A INPUT -j LOG
ip6tables -A FORWARD -j LOG
Я использую UFW в своей системе. Итак, как я могу добавить эти правила в UFW?
Как сказано на плакате выше, вам нужно будет включить ведение журнала с помощью команды
sudo ufw logging on
Но я обнаружил, что мне все еще нужно добавить правила iptables. Для этого выполните каждую из приведенных ниже команд (обратите внимание, что у вас должен быть sudo
спереди)
sudo iptables -A INPUT -j LOG
sudo iptables -A FORWARD -j LOG
sudo ip6tables -A INPUT -j LOG
sudo ip6tables -A FORWARD -j LOG
Вам нужно добавить дополнительные правила в ufw, чтобы удовлетворить psad. Отредактируйте следующие два файла:
sudo vi /etc/ufw/before.rules
sudo vi /etc/ufw/before6.rules
К обоим файлам, перечисленным выше, добавить следующие строки для psad, в самом конце, но перед COMMIT
# custom logging directives for psad
-A INPUT -j LOG
-A FORWARD -j LOG
# don't delete the 'COMMIT' line or these rules won't be processed
COMMIT
Следующий перезапуск ufw
sudo ufw disable
sudo ufw enable
а затем проверьте, работает ли он с
sudo psad --fw-analyze
[+] Parsing /sbin/iptables INPUT chain rules.
[+] Parsing /sbin/ip6tables INPUT chain rules.
[+] Firewall config looks good.
[+] Completed check of firewall ruleset.
[+] Results in /var/log/psad/fw_check
[+] Exiting.
Вот и все. Прочтите больше советов и рекомендаций на как настроить PSAD с UFW
Ты только включить ведение журнала.
sudo ufw logging on
Как уже упоминал Дарронз, вам все еще нужно добавить правила iptable. Поскольку вы используете ufw, самым простым способом создания постоянных правил было бы редактирование /etc/ufw/before.rules
и /etc/ufw/before6.rules
и добавьте следующие строки
-A INPUT -j LOG
-A FORWARD -j LOG
в конце, но до COMMIT
.