J'ai un serveur linux fonctionnant sous Ubuntu 16.04. Aujourd'hui, j'ai installé PSAD, un système de détection d'intrusion.
PSAD fonctionne en analysant les fichiers journaux de iptables. La première chose à faire avant d’utiliser PSAD est donc d’activer la journalisation d’iptables.
Sudo iptables -A INPUT -j LOG
Sudo iptables -A FORWARD -j LOG
J'ai exécuté une analyse de port et appelé l'état PSAD par la suite. Il devrait indiquer qu'une analyse de port a eu lieu, mais rien n'a été affiché. Juste qu'il n'y a pas encore eu d'analyse de port.
Après un certain temps, j'ai réalisé qu'iptables ne se connectait pas. Aucun journal ne contient de journaux iptables. J'ai regardé
/var/log/messages
, où ils devraient se trouver par défaut, mais le fichier est vide/var/log/kern.log
/var/log/syslog
Il n'y a rien. Peut-être qu'il est intéressant de noter que j'utilise UFW. J'ai suivi un tutoriel sur PSAD et UFW , mais toujours rien ne se passe. Aucun journal dans les nouveaux fichiers, créés dans le tutoriel non plus.
Quelle pourrait être la raison? Je n'ai pas configuré le serveur moi-même. Les sécurisations les plus importantes ont été effectuées avant moi. Peut-être qu'ils ont supprimé certains paquets. Ce serait formidable si vous pouviez m'aider, le serveur doit être sécurisé.
Les règles des tables IP sont appliquées de haut en bas.
Chaque fois qu'une règle s'applique à un package, elle est gérée de la manière définie par la règle et (si elle n'est pas configurée différemment) par la chaîne.
Cela signifie que si votre règle LOG est placée sous d'autres règles, elle ne s'appliquera qu'aux packages non traités par les règles auparavant.
Si vous souhaitez plutôt journaliser chaque paquet, placez la règle LOG au-dessus de la chaîne de règles d'accompagnement.
Au fait: Le fichier de log par défaut pour iptables est dans /var/log/kern.log
La journalisation du noyau est probablement désactivée dans (r) syslog. Ajoutez ceci dans le fichier /etc/rsyslog.conf: kern.warn /var/log/firewall.log
et rechargez syslog.
Après, établissez une règle comme, iptables -A -p tcp --dport 22 -j LOG --log-prefix " ALERT " --log-level=warning
Et scannez votre port SSH.
Décommentez la ligne dans /etc/rsyslog.conf
:
module(load="imklog") # provides kernel logging support
Puis courir
service rsyslog restart
Consultez le journal en utilisant
tail -f /var/log/syslog
OU:
date; stat /var/log/syslog