Fail2BAN: Für bestimme Jails keine Benachrichtigung bei BAN senden
Hallo,
ich habe mir für die Fail2Ban Jails jeweils eine Mail Benachrichtigung eingerichtet, die bei neuem Ban eine Mail verschickt.
action = %(action_mwl)s
Funktioniert.
Jetzt habe ich endlich einen guten Jail samt Filter gegen Portscans gefunden, der richtig gut arbeitet. Jetzt kommen allerdings hunderte Mails.
Gibt es die Möglichkeit diese Mail Benachrichtigung nur bestimme Jails zu deaktivieren, für alle anderen aber aktiv zu behalten?
Danke.
ich habe mir für die Fail2Ban Jails jeweils eine Mail Benachrichtigung eingerichtet, die bei neuem Ban eine Mail verschickt.
action = %(action_mwl)s
Funktioniert.
Jetzt habe ich endlich einen guten Jail samt Filter gegen Portscans gefunden, der richtig gut arbeitet. Jetzt kommen allerdings hunderte Mails.
Gibt es die Möglichkeit diese Mail Benachrichtigung nur bestimme Jails zu deaktivieren, für alle anderen aber aktiv zu behalten?
Danke.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1558022305
Url: https://administrator.de/forum/fail2ban-fuer-bestimme-jails-keine-benachrichtigung-bei-ban-senden-1558022305.html
Ausgedruckt am: 30.12.2024 um 16:12 Uhr
5 Kommentare
Neuester Kommentar
Moin,
benutzt du nur ein jail insgesamt, oder hast du für diesen Fall ein extra jail eingerichtet?
Für den Fall nur eines jails (jail.conf bzw. jail.local):
Du hast die action vermutlich unter der [DEFAULT] section bei ACTIONS eingerichtet? (das sollte auch bei der default config von fail2ban der Fall sein)
Weiter unten in der config sind ja nochmal die einzelnen sections, also zB
und ähnliche.
Dadurch, dass du die action unter DEFAULT eingerichtet hast, greift sie überall in diesem jail bzw. bei jeder - nachfolgend definierten - section.
Es geht also (meines Wissens) nur umgekehrt:
Du müsstest die action unter DEFAULT rausnehmen bzw. auskommentieren, und weiter unten für jede spezifische section einzeln reinschreiben (oder eben weglassen, bei deinem portscan Teil).
Falls du ein extra jail eingerichtet hast:
Kommentiere die action einfach aus ;) die restlichen jails sind ja davon unabhängig, und deren Mails sollten weiterhin verschickt werden.
benutzt du nur ein jail insgesamt, oder hast du für diesen Fall ein extra jail eingerichtet?
Für den Fall nur eines jails (jail.conf bzw. jail.local):
Du hast die action vermutlich unter der [DEFAULT] section bei ACTIONS eingerichtet? (das sollte auch bei der default config von fail2ban der Fall sein)
Weiter unten in der config sind ja nochmal die einzelnen sections, also zB
[sshd]
Dadurch, dass du die action unter DEFAULT eingerichtet hast, greift sie überall in diesem jail bzw. bei jeder - nachfolgend definierten - section.
Es geht also (meines Wissens) nur umgekehrt:
Du müsstest die action unter DEFAULT rausnehmen bzw. auskommentieren, und weiter unten für jede spezifische section einzeln reinschreiben (oder eben weglassen, bei deinem portscan Teil).
Falls du ein extra jail eingerichtet hast:
Kommentiere die action einfach aus ;) die restlichen jails sind ja davon unabhängig, und deren Mails sollten weiterhin verschickt werden.
Was ist denn dieses hier bei dir:
?
Also, was steht da genau hinter, ist die Frage.
Der default Eintrag für die banaction sollte sein:
und dafür gibt es, üblicherweise unter
wiederum eine entspr. .conf Datei, die die action festlegt.
(in diesem Fall eben die iptables-multiport.conf)
Ich vermute, für dein "ufw-action" sollte es etwas Ähnliches geben (?) schau da mal rein, evtl wird dadurch die Mail verschickt.
banaction = ufw-action
Also, was steht da genau hinter, ist die Frage.
Der default Eintrag für die banaction sollte sein:
banaction = iptables-multiport
/etc/fail2ban/action.d/
(in diesem Fall eben die iptables-multiport.conf)
Ich vermute, für dein "ufw-action" sollte es etwas Ähnliches geben (?) schau da mal rein, evtl wird dadurch die Mail verschickt.