itstrue
Goto Top

Fail2BAN: Für bestimme Jails keine Benachrichtigung bei BAN senden

Hallo,

ich habe mir für die Fail2Ban Jails jeweils eine Mail Benachrichtigung eingerichtet, die bei neuem Ban eine Mail verschickt.
action = %(action_mwl)s

Funktioniert.
Jetzt habe ich endlich einen guten Jail samt Filter gegen Portscans gefunden, der richtig gut arbeitet. Jetzt kommen allerdings hunderte Mails.

Gibt es die Möglichkeit diese Mail Benachrichtigung nur bestimme Jails zu deaktivieren, für alle anderen aber aktiv zu behalten?

Danke.

Content-ID: 1558022305

Url: https://administrator.de/forum/fail2ban-fuer-bestimme-jails-keine-benachrichtigung-bei-ban-senden-1558022305.html

Ausgedruckt am: 30.12.2024 um 16:12 Uhr

HanTrio
HanTrio 27.11.2021 aktualisiert um 10:47:31 Uhr
Goto Top
Moin,

benutzt du nur ein jail insgesamt, oder hast du für diesen Fall ein extra jail eingerichtet?
Für den Fall nur eines jails (jail.conf bzw. jail.local):

Du hast die action vermutlich unter der [DEFAULT] section bei ACTIONS eingerichtet? (das sollte auch bei der default config von fail2ban der Fall sein)

Weiter unten in der config sind ja nochmal die einzelnen sections, also zB
[sshd]
und ähnliche.

Dadurch, dass du die action unter DEFAULT eingerichtet hast, greift sie überall in diesem jail bzw. bei jeder - nachfolgend definierten - section.

Es geht also (meines Wissens) nur umgekehrt:
Du müsstest die action unter DEFAULT rausnehmen bzw. auskommentieren, und weiter unten für jede spezifische section einzeln reinschreiben (oder eben weglassen, bei deinem portscan Teil).
Falls du ein extra jail eingerichtet hast:
Kommentiere die action einfach aus ;) die restlichen jails sind ja davon unabhängig, und deren Mails sollten weiterhin verschickt werden.
itstrue
itstrue 27.11.2021 um 11:55:54 Uhr
Goto Top
Danke.
Ja, nur ein Jail. Und ja oben unter Default eingerichtet. Das wusste ich. Ich dachte ich kann bei dem einen, wo keine Benachrichtigung kommen soll einfach so was wie „no Action“ schreiben. Ist aber auch kein Problem es bei allen anderen hinzuschreibenface-smile

Danke nochmal
itstrue
itstrue 27.11.2021 aktualisiert um 23:26:33 Uhr
Goto Top
Ich hab das jetzt so gemacht:
  1. Choose default action. To change, just override value of 'action' with the
  2. interpolation to the chosen action shortcut (e.g. action_mw, action_mwl, etc) in jail.local
  3. globally (section [DEFAULT]) or per specific section
#action = %(action_)s
#action = %(action_mwl)s

Bei allen aktiven Jails hab ich hinzugefügt:
action = %(action_mwl)s

=> funktioniert

Bei Port Scan Jail, wo ich keine Benachrichtigung mehr wollte, steht jetzt:

enabled = true
#port = all
filter = ufw-port-scan
banaction = ufw-action
logpath = /var/log/ufw.log
maxretry = 2
#findtime: 0.5 hours
findtime = 1800
#bantime: 1 year
bantime = 31536000
#Ban IP and report to AbuseIPDB
#action = %(action_mwl)s
#%(action_abuseipdb)s[abuseipdb_apikey="xxxxxxx", abuseipdb_category="xxx"]

Und ich bekomme trotzdem fleißig Mails... Wie kann das denn sein?
HanTrio
HanTrio 28.11.2021 um 18:28:49 Uhr
Goto Top
Was ist denn dieses hier bei dir:
 banaction = ufw-action
?
Also, was steht da genau hinter, ist die Frage.

Der default Eintrag für die banaction sollte sein:
banaction = iptables-multiport
und dafür gibt es, üblicherweise unter
/etc/fail2ban/action.d/
wiederum eine entspr. .conf Datei, die die action festlegt.
(in diesem Fall eben die iptables-multiport.conf)

Ich vermute, für dein "ufw-action" sollte es etwas Ähnliches geben (?) schau da mal rein, evtl wird dadurch die Mail verschickt.
itstrue
itstrue 01.12.2021 um 09:38:25 Uhr
Goto Top
Danke, muss ich prüfen.