我在一些CentOS 5和6服务器上configuration了fail2ban ,每当IP被禁止时,它会向我发送一个带有whois IP的电子邮件。 是否有可能configurationfail2ban也发送通知的电子邮件从whois报告?
这是我的监狱configuration:
# /etc/fail2ban/jail.conf [ssh-iptables] enabled = true filter = sshd action = iptables-allports[name=SSH, protocol=all] sendmail-whois[name=SSH, [email protected], sender=fail2ban] logpath = /var/log/secure maxretry = 3 是否有某种变数我可以把它dest=发送到whois电子邮件?
看起来有一个动作来自fail2ban叫complain 。 注意与complain[logpath=/var/log/secure]行complain[logpath=/var/log/secure] :
# /etc/fail2ban/jail.conf [ssh-iptables] enabled = true filter = sshd action = iptables-allports[name=SSH, protocol=all] sendmail-whois[name=SSH, [email protected], sender=fail2ban] complain[logpath=/var/log/secure] logpath = /var/log/secure maxretry = 3
添加该行并重新启动fail2ban服务。 动作conf文件是/etc/fail2ban/action.d/complain.conf。 简短的介绍:
将投诉电子邮件发送到Whoislogging中列出的地址,以查找违规的IP地址。
这是可能的。 (这取决于你的定义有多严格,“有失败的做这件事”。)尽pipe如此,我并不觉得这是对时间的特别的富有成果的浪费。
基本上,你会把你的whois域名所有者,并发送一个电子邮件滥用@ [域名]。[tld]让他们知道,他们的主机上的某人试图获得未经授权的访问您的系统,附加日志,据推测。 (你也可以按照你的build议发送一封电子邮件给whois,但是更不可能接触任何关心或者能够做些什么的人)。你必须希望:
abuse是正确的地址(你可以尝试其他的,但这将是最常见的),并进行监控。 (与whois中列出的电子邮件地址相同 – 如果无效或未受到监控,那么您的时间已经过时了。) 这些条件中的任何一个都是假的,保证你完全浪费你的时间,根据我的经验,2,4,5和6几乎总是假的,所以你所期望的是完全浪费时间,除非你想用这个作为一个学习的经验,成为一个更好的scripter。
要通过@Banjer(这是正确的)添加到答案:如果您正确configuration“抱怨”行为,则不需要“sendmail-whois”和“抱怨”两个操作:
# /etc/fail2ban/jail.conf [ssh-iptables] enabled = true filter = sshd action = iptables-allports[name=SSH, protocol=all] complain[logpath=/var/log/secure] logpath = /var/log/secure maxretry = 3
和:
# /etc/fail2ban/action.d/complain.conf [Init] message = <insert body-text here>\n\nWhois information about $IP:\n`/usr/bin/whois $IP`\n logpath = /dev/null mailcmd = mail -s mailargs = -c <insert your e-mailaddress here> -- -f root@<insert your domain here>
这样,pipe理违规IP地址的互联网服务提供商将自动与您联系,您将收到cc:('-c'选项到mailargsvariables)的电子邮件副本。
我还将WHOIS信息添加到了message-variable中,这在Debianconfiguration中不是默认的,但是是默认消息imho的一个不错的插件。