有fail2ban向被禁方发送通知

Question

我在某些 CentOS 5 和 6 服务器上配置了fail2ban，每当 IP 被禁止时，它都会向我发送一封包含 IP 的 whois 的电子邮件。是否可以将 fail2ban 配置为也从 whois 报告向电子邮件发送通知？

这是我的监狱配置：

# /etc/fail2ban/jail.conf    

[ssh-iptables]

enabled  = true
filter   = sshd
action   = iptables-allports[name=SSH, protocol=all]
           sendmail-whois[name=SSH, dest=root@mydomain.com, sender=fail2ban]
logpath  = /var/log/secure
maxretry = 3

是否有某种变量我可以将其dest=发送到 whois 电子邮件？

Answer 1

看起来fail2ban 附带了一个名为complain. 请注意以下行complain[logpath=/var/log/secure]：

# /etc/fail2ban/jail.conf    

[ssh-iptables]

enabled  = true
filter   = sshd
action   = iptables-allports[name=SSH, protocol=all]
           sendmail-whois[name=SSH, dest=root@mydomain.com, sender=fail2ban]
           complain[logpath=/var/log/secure]
logpath  = /var/log/secure
maxretry = 3

添加该行并重新启动 fail2ban 服务。操作 conf 文件是 /etc/fail2ban/action.d/complain.conf。简短的介绍：

针对违规 IP 地址向 whois 记录中列出的地址发送投诉电子邮件。

Answer 2

这是可能的。（取决于您定义“让fail2ban 执行此操作”的严格程度。）不过，这并没有让我觉得浪费时间特别有成效。

基本上，您会带您whois找到域所有者，并发送一封电子邮件至abuse@[domain].[tld] 以让他们知道其中一台主机上的某人正试图未经授权访问您的系统，并附上日志，大概。（您也可以按照您的建议向 whois 中的电子邮件发送一封邮件，但这更不可能送达关心或可以对此做些什么的任何人。）您必须希望：

1. abuse是正确的地址（您可以尝试其他地址，但这是目前最常见的地址）并且受到监控。（与 whois 中列出的电子邮件地址相同 - 如果它无效或不受监控，您就浪费了时间。）
2. 主人该死的。
3. 主机不在其中。
4. 主机有充足的空闲时间来追踪顽皮​​的用户。
5. 主机具有追踪淘气用户的技术能力。
6. 顽皮的用户不会立即切换主机/受损系统并继续畅通无阻。

这些条件中的任何一个都是错误的，都保证你完全是在浪费时间，根据我的经验，2、4、5 和 6 几乎总是错误的，所以你想要的是完全浪费时间，除非您希望将此作为学习经验以成为更好的脚本编写者。