SELinux, препятствующий тому, чтобы Fail2Ban послал уведомление по электронной почте через msmtp
У меня есть msmtp как у пустого клиента, соединяющегося с моим счетом SES AWS на SMTP, поставляя предупреждения, такие как крон, monit и скоро надо надеяться, Fail2Ban на мои адреса электронной почты. Однако Fail2Ban не играет в бейсбол, или быть более точным, selinux предотвращает вещи.
action_mwl работает просто великолепно в режиме Permissive. Я получаю электронные письма запрета. В режиме Enforcing Fail2Ban регистрирует ошибку, и никакая почта не отправляется. Попытка предпринята, чтобы она была отправлена, согласно журналу msmtp, но она не идет.
Вот является такой (часть a) записью в журнале Fail2Ban:
2015-09-29 12:25:12,543 fail2ban.actions [31113]: ERROR Failed to execute ban jail 'wordpress' action 'sendmail-whois-lines' info 'CallingMap({'ipjailmatches': <function <lambda> at 0x2c5ac08>, 'matches': u'
отчеты о msmtp:
Sep 29 12:25:12 host=email-smtp.eu-west-1.amazonaws.com tls=on auth=on user=12345 from=me@myserver.com recipients=my.name@gmail.com errormsg='cannot connect to email-smtp.eu-west-1.amazonaws.com, port 587: Permission denied' exitcode=EX_TEMPFAIL
Это не проблема конфигурации msmtp, ни почтовая проблема содержимого тела, поскольку я могу отправить то точное сообщение Fail2Ban от передачи по каналу командной строки до msmtp (непосредственно, или через sendmail символьную ссылку) очень хорошо, и это отправляет красиво. Учетные данные и т.д. следовательно прекрасны. Также работы через крон. Что означает, что это не проблема брандмауэра также.
$ sudo ls -lZ /usr/bin/msmtp
-rwxr-xr-x. root root system_u:object_r:bin_t:s0 /usr/bin/msmtp
$ sudo ls -lZ /usr/bin/sendmail
lrwxrwxrwx. root root unconfined_u:object_r:bin_t:s0 /usr/bin/sendmail -> /usr/bin/msmtp
В jail.conf:
mta = sendmail
sealert не дает мне подсказок, которые я могу распознать или действие.
Я подтвердил выполнения fail2ban как корень:
$ ps aux | grep fail2ban
Я добавил некоторый дополнительный вход, и теперь получите это в/var/log/messages
Sep 29 16:11:15 ip-172-31-6-51 setroubleshoot: SELinux is preventing /usr/bin/msmtp from name_connect access on the tcp_socket port 587. For complete SELinux messages. run sealert -l 78f05dbd-a953-4196-9f14-afaabb5a4d88
Sep 29 16:11:15 ip-172-31-6-51 python: SELinux is preventing /usr/bin/msmtp from name_connect access on the tcp_socket port 587.
Где посмотреть затем? Как я могу сказать, что SELinux Fail2Ban разрешают играть приятно с msmtp?
После добавления более подробного журнала я получил достаточно подсказок от системы (и @Michael Hampton), чтобы понять это.
yum install setroubleshoot setools
Это дает намного больше информации в / var / log / messages и предлагает такие инструменты, как:
sealert -a /var/log/audit/audit.log
Также:
ausearch -m avc
Они дадут вам такие инструкции, как:
Sep 29 16:11:15 ip-172-31-6-51 setroubleshoot: SELinux is preventing /usr/bin/msmtp from name_connect access on the tcp_socket port 587. For complete SELinux messages. run sealert -l 78f05dbd-a953-4196-9f14-afaabb5a4d88
Выполнение предлагаемой команды:
sealert -l 78f05dbd-a953-4196-9f14-afaabb5a4d88
Дает мне:
If you believe that msmtp should be allowed name_connect access on the port 587 tcp_socket by default.
Then you should report this as a bug.
You can generate a local policy module to allow this access.
Do
allow this access for now by executing:
# grep msmtp /var/log/audit/audit.log | audit2allow -M mypol
# semodule -i mypol.pp
Итак, я сделал:
$ grep msmtp /var/log/audit/audit.log | audit2allow -M fail2ban_msmtp
Я посмотрел, что он создал:
$ vim fail2ban_msmtp.te
А затем установил политику, сделав ее постоянной при перезагрузке:
$ semodule -i fail2ban_msmtp.pp
Затем я заблокировал случайный IP-адрес, чтобы запустить блокировку по электронной почте чтобы подтвердить это, теперь, наконец, посылает мне желаемое письмо через msmtp:
$ fail2ban-client set sshd banip 162.229.158.134
Presto! Так просто, этот материал SELinux.
PS Кажется, есть другой способ (не тестировался):
$ setsebool -P nis_enabled 1