it-swarm.com.de

Warum protokolliert mein iptables nicht?

Ich habe einen Linux-Server unter Ubuntu 16.04. Heute habe ich PSAD, ein Intrusion Detection System, installiert.

PSAD analysiert die Protokolldateien von iptables. Bevor Sie PSAD verwenden können, müssen Sie zunächst die Protokollierung von iptables aktivieren.

Sudo iptables -A INPUT -j LOG
Sudo iptables -A FORWARD -j LOG

Ich habe einen Port-Scan durchgeführt und danach den PSAD-Status aufgerufen. Es sollte angezeigt werden, dass ein Port-Scan stattgefunden hat, aber nichts angezeigt wurde. Nur, dass es noch keinen Port-Scan gegeben hat.

Nach einiger Zeit wurde mir klar, dass iptables nicht mehr protokolliert. Keine Protokolldatei enthält iptables-Protokolle. Ich habe nachgesehen

  • /var/log/messages, wo sie standardmäßig sein sollten, aber die Datei ist leer
  • /var/log/kern.log
  • /var/log/syslog

Da ist nichts. Vielleicht ist es erwähnenswert, dass ich UFW benutze. Ich folgte einem Tutorial über PSAD und UFW , aber es passiert immer noch nichts. Keine Protokolle in den neuen Dateien, die ebenfalls im Lernprogramm erstellt wurden.

Was könnte der Grund sein? Ich habe den Server nicht selbst eingerichtet. Die wichtigsten Sicherungen wurden vor mir vorgenommen. Vielleicht haben sie einige Pakete entfernt. Es wäre toll, wenn Sie mir helfen könnten, der Server muss sicher sein.

1
Noah Krasser

Regeln in IP-Tabellen werden von oben nach unten angewendet.

Immer wenn eine Regel auf ein Paket angewendet wird, wird sie wie in der Regel definiert behandelt und (sofern nicht anders konfiguriert) führt dazu, dass die Regelkette verlassen wird.

Das heißt, wenn Ihre LOG-Regel unter anderen Regeln steht, gilt sie nur für Pakete, die zuvor NICHT von den Regeln behandelt wurden.

Wenn Sie stattdessen jedes Paket protokollieren möchten, platzieren Sie die LOG-Regel oben auf der Kette der Aufzeichnungsregeln.


Übrigens: Die Standard-Logdatei für iptables befindet sich in /var/log/kern.log

2
derHugo

Wahrscheinlich ist die Kernel-Protokollierung in (r) syslog deaktiviert. Fügen Sie dies in die Datei /etc/rsyslog.conf ein: kern.warn /var/log/firewall.log und laden Sie syslog neu.

Machen Sie danach eine Regel wie iptables -A -p tcp --dport 22 -j LOG --log-prefix " ALERT " --log-level=warning

Und scannen Sie Ihren SSH-Port.

1
fugitive

Kommentieren Sie die Zeile in /etc/rsyslog.conf aus:

module(load="imklog") # provides kernel logging support

Dann renne

service rsyslog restart

Überprüfen Sie das Protokoll mit

tail -f /var/log/syslog

ODER:

date; stat /var/log/syslog
0
KęstutisV