fail2ban идентифицирует журнал ошибок подписки, который привел к запрету IP-адресов [закрыто]
Я запускаю Fail2Ban через Parallels Plesk 12.x на нескольких контейнерах CentOS 6 с несколькими активными тюрьмами ( apache-noscripts , plesk-apache и т. Д.). В журнале Fail2Ban.log указан заблокированный IP-адрес; однако я бы хотел узнать, какую подписку использовал нарушитель, чтобы я мог быстро открыть журнал error_log этой конкретной подписки и определить активность, связанную с заблокированным IP-адресом, до действия запрета. Возможно ли это, поскольку невозможно открывать более 75 журналов ошибок в поисках заблокированного IP-адреса каждый раз, когда я хотел бы продолжить расследование?
Журналы ошибок для каждой подписки проверяются, поэтому, похоже, должен быть способ чтобы эта информация отображалась в fail2ban.log или в другом месте.
fail2ban.filter [1170]: INFO Added logfile = /var/www/vhosts/system/example.com/logs/error_log
Я давно искал ответ на этот вопрос. Любая помощь приветствуется.
Fail2ban может отправлять электронное письмо о каждом бане, включая whois по IP и соответствующие строки в журналах. Это возможно с помощью действий .
Чтобы процитировать jail.conf :
# The simplest action to take: ban only
action_ = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"]
# ban & send an e-mail with whois report to the destemail.
action_mw = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"]
%(mta)s-whois[name=%(__name__)s, dest="%(destemail)s", protocol="%(protocol)s", chain="%(chain)s"]
# ban & send an e-mail with whois report and relevant log lines
# to the destemail.
action_mwl = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"]
%(mta)s-whois-lines[name=%(__name__)s, dest="%(destemail)s", logpath=%(logpath)s, chain="%(chain)s"]
Таким образом, можно автоматически отправлять электронное письмо с whois и журналами. Также можно запустить любую другую программу, например вы можете просто выгрузить эту информацию в файлы.
Задайте действие по умолчанию:
# Choose default action. To change, just override value of 'action' with the
# interpolation to the chosen action shortcut (e.g. action_mw, action_mwl, etc) in jail.local
# globally (section [DEFAULT]) or per specific section
action = %(action_mwl)s
Установите действие для каждой тюрьмы:
[ssh]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 6
action = %(action_mwl)s
Тогда такое письмо будет выглядеть так: (Это сокращенно для постфикса)
From: fail2ban@example.com
To: root@localhost
Subject: [Fail2Ban] postfix: banned 192.0.2.0
Hi,
The IP 192.0.2.0 has just been banned by Fail2Ban after
3 attempts against postfix.
Here are more information about 192.0.2.0:
% [whois.apnic.net]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html
% Information related to '192.0.2.0 - 192.0.2.255'
[... complete whois ...]
% This query was served by the APNIC Whois Service version 1.69.1-APNICv1r0 (UNDEFINED)
Lines containing IP:192.0.2.0 in /var/log/mail.log
Mar 9 04:37:05 sendai postfix/smtpd/smtpd[25172]: connect from unknown[192.0.2.0]
Mar 9 04:37:07 sendai postfix/smtpd/smtpd[25172]: NOQUEUE: reject: RCPT from unknown[192.0.2.0]: 450 4.7.1 Client host rejected: cannot find your reverse hostname, [192.0.2.0]; from=<spammer@example.net> to=<user@example.com> proto=ESMTP helo=<invalid.example.com>
Mar 9 04:37:14 sendai postfix/smtpd/smtpd[25172]: disconnect from unknown[192.0.2.0]
[... and many other lines ...]
Regards,
Fail2Ban
Вы Вы можете настроить свой почтовый клиент или сервер почтовых ящиков (с помощью сита) на автоматическое удаление этих писем через три дня и просматривать их только при необходимости.