我在某些 CentOS 5 和 6 服务器上配置了fail2ban,每当 IP 被禁止时,它都会向我发送一封包含 IP whois 的电子邮件。是否可以将 fail2ban 配置为从 whois 报告向电子邮件发送通知?
这是我的监狱配置:
# /etc/fail2ban/jail.conf
[ssh-iptables]
enabled = true
filter = sshd
action = iptables-allports[name=SSH, protocol=all]
sendmail-whois[name=SSH, [email protected], sender=fail2ban]
logpath = /var/log/secure
maxretry = 3
是否有某种变量可以dest=发送到 whois 电子邮件?
看起来 fail2ban 附带了一个名为
complain. 请注意以下行complain[logpath=/var/log/secure]:添加该行并重新启动 fail2ban 服务。动作配置文件是 /etc/fail2ban/action.d/complain.conf。简短的介绍:
这是可能的。(取决于您对“让 fail2ban 执行此操作”的定义有多严格。)不过,这并不是特别有成效的浪费时间。
基本上,您需要
whois找到域所有者,然后向 abuse@[domain].[tld] 发送电子邮件,让他们知道其中一台主机上的某人正试图获得对您系统的未授权访问权限,并附上日志,大概。(正如您所建议的,您也可以将一封电子邮件发送到 whois 中的电子邮件,但这更不可能到达任何关心或可以做某事的人。)您必须希望:abuse是正确的地址(您可以尝试其他地址,但这是迄今为止最常见的地址)并且受到监控。(与 whois 中列出的电子邮件地址相同 - 如果它无效或未受到监控,那么您马上就在浪费时间。)这些条件中的任何一个都是错误的保证你完全是在浪费时间,根据我的经验,2、4、5 和 6 几乎总是错误的,所以你想要的完全是浪费时间,除非您希望将此作为学习经验来成为更好的脚本编写者。
要添加@Banjer 的答案(这是正确的):如果您正确配置操作“投诉”,您实际上并不需要操作“sendmail-whois”和“投诉”:
和:
这样,将自动联系管理违规 IP 地址的 Internet 服务提供商,并且您将在 cc:('-c'-mailargs 变量的选项)中收到电子邮件的副本。
我还将 WHOIS 信息添加到消息变量中,这不是 Debian 配置中的默认设置,而是默认消息恕我直言的一个很好的插件。