Fail2ban

Fail2ban 不斷向 root 發送電子郵件,而不是我的電子郵件

  • January 27, 2021

我有 fail2ban 設置並在我的系統上工作。在/etc/fail2ban/jail.local中,我的目標電子郵件有以下內容:

destemail = me@address.com

然而,瀏覽我的/var/log/mail.log文件,我不斷看到:

Jul 23 21:19:04 picus sendmail[21205]: x6O1J489021205: from=fail2ban, size=210, class=0, nrcpts=1, msgid=<201907240119.x6O1J489021205@major-productions.com>, relay=root@localhost
Jul 23 21:19:04 picus sm-mta[21207]: x6O1J4vh021207: from=<fail2ban@major-productions.com>, size=461, class=0, nrcpts=1, msgid=<201907240119.x6O1J489021205@major-productions.com>, proto=ESMTP, daemon=MTA-v4, relay=localhost [127.0.0.1]
Jul 23 21:19:04 picus sendmail[21205]: x6O1J489021205: to=root, delay=00:00:00, xdelay=00:00:00, mailer=relay, pri=30210, relay=[127.0.0.1] [127.0.0.1], dsn=2.0.0, stat=Sent (x6O1J4vh021207 Message accepted for delivery)
Jul 23 21:19:04 picus sm-mta[21208]: x6O1J4vh021207: to=linode, ctladdr=<root@major-productions.com> (8/0), delay=00:00:00, mailer=local, pri=120461, dsn=5.1.1, stat=User unknown
Jul 23 21:19:04 picus sm-mta[21208]: x6O1J4vh021207: to=<fail2ban@major-productions.com>, delay=00:00:00, mailer=local, pri=30680, dsn=5.1.1, stat=User unknown
Jul 23 21:19:04 picus sm-mta[21208]: x6O1J4vh021207: to=linode, ctladdr=root (8/0), delay=00:00:00, mailer=local, pri=30680, dsn=5.1.1, stat=User unknown
Jul 23 21:19:04 picus sm-mta[21208]: x6O1J4vh021207: x6O1J4vh021208: postmaster notify: User unknown
Jul 23 21:19:04 picus sm-mta[21208]: x6O1J4vh021208: to=linode, ctladdr=root (8/0), delay=00:00:00, mailer=local, pri=0, dsn=5.1.1, stat=User unknown
Jul 23 21:19:04 picus sm-mta[21208]: x6O1J4vh021208: to=linode, ctladdr=root (8/0), delay=00:00:00, mailer=local, pri=0, dsn=5.1.1, stat=User unknown
Jul 23 21:19:04 picus sm-mta[21208]: x6O1J4vh021208: x6O1J4vi021208: return to sender: User unknown
Jul 23 21:19:04 picus sm-mta[21208]: x6O1J4vi021208: to=linode, ctladdr=root (8/0), delay=00:00:00, mailer=local, pri=0, dsn=5.1.1, stat=User unknown
Jul 23 21:19:04 picus sm-mta[21208]: x6O1J4vh021208: Saved message in /var/lib/sendmail/dead.letter

它一直試圖將其發送到我機器上的 root 帳戶,而不是我的電子郵件地址。我在某處缺少一些配置選項嗎?

編輯:經過一番修修補補,我已經能夠在一定程度上糾正這個問題。我變了:

dest = root

dest = me@address.com

/etc/fail2ban/action.d/mail.conf. 隨著這一變化,我現在收到與我的 ssh/ssh-ddos 監獄有關的電子郵件。 但是,我仍然沒有收到來自我的累犯監獄的電子郵件。看著/etc/fail2ban/jail.local,我看到它呼叫了一些東西來整理/格式化該特定監獄中被禁止帳戶的各種 WHOIS 數據。

更多地探勘各種配置文件讓我/etc/fail2ban/action.d/sendmail-common.conf發現,就像我看過的其他各種配置文件一樣,有dest = root.

現在,我可以調整這些不同的配置文件,使它們都使用我的電子郵件地址作為目的地,但我感覺這或多或少相當於將圓釘錘入方孔。有沒有更好的方法來強制fail2ban預設使用我的電子郵件作為目標地址?我的 sendmail 安裝是否存在潛在的配置問題(我可以毫無問題地接收來自 OSSEC 和我的 Web 應用程序的電子郵件)?

我在我的 Debian 10 伺服器上遇到了完全相同的問題。那是一個討厭的,因為它並沒有真正給出錯誤消息,因為沒有真正的錯誤,你可以追踪它……

在那裡,邁克爾漢普頓給出了正確的暗示。謝謝你。

解決方案:

在您使用它的每個規則中設置您的 2 封電子郵件,然後它突然起作用了。

像這樣:

[sshd]  
enabled   = true
port      = 22
filter    = sshd
logpath   = /var/log/auth.log
sender    = sender@example.com
destemail = me@address.com
action    = %(action_mwl)s

事實證明,雖然我在預設聲明中有它,但它並沒有被無形地接受……沒有給出錯誤……一些隨機格式錯誤,如空行或註釋等……

引用自:https://serverfault.com/questions/976431

相關問答

Fail2ban

fail2ban iptables 返回 200,iptables 0 引用

  • May 2, 2022
檢視問答
Security

從 Centos 7 完全刪除後無法重新安裝 fail2ban

  • April 23, 2022
檢視問答
Linux

fail2ban 似乎正在工作,但伺服器仍會收到連接嘗試

  • April 23, 2022
檢視問答
Fail2ban

fail2ban 在 ignoreip 列表中阻止 IP

  • April 12, 2022
檢視問答
Debian

如何使用 Fail2Ban 禁止 Syn Flood 攻擊?

  • April 10, 2022
檢視問答
Ubuntu

Fail2ban bantime.increment 不起作用

  • February 14, 2022
檢視問答