5
Fail2BAN: Für bestimme Jails keine Benachrichtigung bei BAN senden
Hallo,
ich habe mir für die Fail2Ban Jails jeweils eine Mail Benachrichtigung eingerichtet, die bei neuem Ban eine Mail verschickt.
action = %(action_mwl)s
Funktioniert.
Jetzt habe ich endlich einen guten Jail samt Filter gegen Portscans gefunden, der richtig gut arbeitet. Jetzt kommen allerdings hunderte Mails.
Gibt es die Möglichkeit diese Mail Benachrichtigung nur bestimme Jails zu deaktivieren, für alle anderen aber aktiv zu behalten?
Danke.
ich habe mir für die Fail2Ban Jails jeweils eine Mail Benachrichtigung eingerichtet, die bei neuem Ban eine Mail verschickt.
action = %(action_mwl)s
Funktioniert.
Jetzt habe ich endlich einen guten Jail samt Filter gegen Portscans gefunden, der richtig gut arbeitet. Jetzt kommen allerdings hunderte Mails.
Gibt es die Möglichkeit diese Mail Benachrichtigung nur bestimme Jails zu deaktivieren, für alle anderen aber aktiv zu behalten?
Danke.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1558022305
Url: https://administrator.de/contentid/1558022305
Ausgedruckt am: 19.11.2024 um 15:11 Uhr
5 Kommentare
Neuester Kommentar
Moin,
benutzt du nur ein jail insgesamt, oder hast du für diesen Fall ein extra jail eingerichtet?
Für den Fall nur eines jails (jail.conf bzw. jail.local):
Du hast die action vermutlich unter der [DEFAULT] section bei ACTIONS eingerichtet? (das sollte auch bei der default config von fail2ban der Fall sein)
Weiter unten in der config sind ja nochmal die einzelnen sections, also zB
und ähnliche.
Dadurch, dass du die action unter DEFAULT eingerichtet hast, greift sie überall in diesem jail bzw. bei jeder - nachfolgend definierten - section.
Es geht also (meines Wissens) nur umgekehrt:
Du müsstest die action unter DEFAULT rausnehmen bzw. auskommentieren, und weiter unten für jede spezifische section einzeln reinschreiben (oder eben weglassen, bei deinem portscan Teil).
Falls du ein extra jail eingerichtet hast:
Kommentiere die action einfach aus ;) die restlichen jails sind ja davon unabhängig, und deren Mails sollten weiterhin verschickt werden.
benutzt du nur ein jail insgesamt, oder hast du für diesen Fall ein extra jail eingerichtet?
Für den Fall nur eines jails (jail.conf bzw. jail.local):
Du hast die action vermutlich unter der [DEFAULT] section bei ACTIONS eingerichtet? (das sollte auch bei der default config von fail2ban der Fall sein)
Weiter unten in der config sind ja nochmal die einzelnen sections, also zB
[sshd]Dadurch, dass du die action unter DEFAULT eingerichtet hast, greift sie überall in diesem jail bzw. bei jeder - nachfolgend definierten - section.
Es geht also (meines Wissens) nur umgekehrt:
Du müsstest die action unter DEFAULT rausnehmen bzw. auskommentieren, und weiter unten für jede spezifische section einzeln reinschreiben (oder eben weglassen, bei deinem portscan Teil).
Falls du ein extra jail eingerichtet hast:
Kommentiere die action einfach aus ;) die restlichen jails sind ja davon unabhängig, und deren Mails sollten weiterhin verschickt werden.
Danke.
Ja, nur ein Jail. Und ja oben unter Default eingerichtet. Das wusste ich. Ich dachte ich kann bei dem einen, wo keine Benachrichtigung kommen soll einfach so was wie „no Action“ schreiben. Ist aber auch kein Problem es bei allen anderen hinzuschreiben
Danke nochmal
Ja, nur ein Jail. Und ja oben unter Default eingerichtet. Das wusste ich. Ich dachte ich kann bei dem einen, wo keine Benachrichtigung kommen soll einfach so was wie „no Action“ schreiben. Ist aber auch kein Problem es bei allen anderen hinzuschreiben
Danke nochmal
Ich hab das jetzt so gemacht:
#action = %(action_mwl)s
Bei allen aktiven Jails hab ich hinzugefügt:
action = %(action_mwl)s
=> funktioniert
Bei Port Scan Jail, wo ich keine Benachrichtigung mehr wollte, steht jetzt:
enabled = true
#port = all
filter = ufw-port-scan
banaction = ufw-action
logpath = /var/log/ufw.log
maxretry = 2
#findtime: 0.5 hours
findtime = 1800
#bantime: 1 year
bantime = 31536000
#Ban IP and report to AbuseIPDB
#action = %(action_mwl)s
#%(action_abuseipdb)s[abuseipdb_apikey="xxxxxxx", abuseipdb_category="xxx"]
Und ich bekomme trotzdem fleißig Mails... Wie kann das denn sein?
- Choose default action. To change, just override value of 'action' with the
- interpolation to the chosen action shortcut (e.g. action_mw, action_mwl, etc) in jail.local
- globally (section [DEFAULT]) or per specific section
#action = %(action_mwl)s
Bei allen aktiven Jails hab ich hinzugefügt:
action = %(action_mwl)s
=> funktioniert
Bei Port Scan Jail, wo ich keine Benachrichtigung mehr wollte, steht jetzt:
enabled = true
#port = all
filter = ufw-port-scan
banaction = ufw-action
logpath = /var/log/ufw.log
maxretry = 2
#findtime: 0.5 hours
findtime = 1800
#bantime: 1 year
bantime = 31536000
#Ban IP and report to AbuseIPDB
#action = %(action_mwl)s
#%(action_abuseipdb)s[abuseipdb_apikey="xxxxxxx", abuseipdb_category="xxx"]
Und ich bekomme trotzdem fleißig Mails... Wie kann das denn sein?
Was ist denn dieses hier bei dir:
?
Also, was steht da genau hinter, ist die Frage.
Der default Eintrag für die banaction sollte sein:
und dafür gibt es, üblicherweise unter
wiederum eine entspr. .conf Datei, die die action festlegt.
(in diesem Fall eben die iptables-multiport.conf)
Ich vermute, für dein "ufw-action" sollte es etwas Ähnliches geben (?) schau da mal rein, evtl wird dadurch die Mail verschickt.
banaction = ufw-actionAlso, was steht da genau hinter, ist die Frage.
Der default Eintrag für die banaction sollte sein:
banaction = iptables-multiport/etc/fail2ban/action.d/(in diesem Fall eben die iptables-multiport.conf)
Ich vermute, für dein "ufw-action" sollte es etwas Ähnliches geben (?) schau da mal rein, evtl wird dadurch die Mail verschickt.
Danke, muss ich prüfen.
