Ubuntu

標記為垃圾郵件的 Logwatch 電子郵件;如何在 bot 主機上停止反向 DNS?

  • December 7, 2020

有沒有辦法改變 Logwatch 設置,使其停止在所有試圖探測伺服器或被阻止的主機上執行反向 dns 名稱解析?

這些 URL 導致電子郵件被阻止,尤其是被 Gmail 阻止,從而使 Logwatch 無法用作系統管理員工具。

我更喜歡使用 Ubuntu 或 Debian 上預先存在的配置文件的答案,但我會盡我所能。

這個答案很大程度上受到@RedScourge 的原始答案的啟發,但通過配置禁用,並且僅在必要時LookupIP對腳本進行微創更改。sshd

一位使用者詢問是否能夠選擇性地禁用某些服務的主機名主機名查找功能,為此向 logwatch 送出了一個更新檔,該更新檔為 SSHD 啟用了此功能。在撰寫本文時,該更新檔不是標記版本的一部分,但很容易在本地應用。作為額外的好處,如果您的伺服器上有大量 SSH 嘗試,這會顯著加快日誌生成。

第 1 步:確保標誌sshd_ip_lookup由您的本地版本處理logwatch

  1. 打開/usr/share/logwatch/scripts/services/sshd並蒐索sshd_ip_lookup
  2. 如果您沒有找到對此標誌的任何引用,那麼…

一種。將sshd腳本複製到,以便在更新/etc時不會被覆蓋logwatch

sudo cp /usr/share/logwatch/scripts/services/sshd /etc/logwatch/scripts/services/sshd

灣。/etc/logwatch/scripts/services/sshd使用您喜歡的編輯器打開

sudo nano /etc/logwatch/scripts/services/sshd

C。使用此送出的更改修改腳本。

即在之前my $DebugCounter = 0;(或靠近頂部的任何地方)粘貼以下內容:

$main::DoLookup = $ENV{'sshd_ip_lookup'};   

第 2 步:將標誌設置sshd_ip_lookupNo

  1. /etc/logwatch/conf/services/sshd.conf使用您喜歡的編輯器創建/打開。
  2. 添加以下內容:
# Set to No to disable IP lookups
$sshd_ip_lookup = No

再次嘗試執行 logwatch!

附錄:Google Mail (GMail) 垃圾郵件檢測

我也經歷過 Google 阻止 logwatch 電子郵件。他們從未進入收件人的垃圾郵件文件夾;Google在出去的時候阻止了這封電子郵件。@RedScourge 的分析認為這是由於 logwatch 報告中的大量域名似乎是正確的。電子郵件必須看起來充滿了 Google 垃圾郵件過濾器的 URL。

我相信 Google Mail 在顯示電子郵件時連結的 IP 地址與其垃圾郵件過濾器在發送電子郵件之前認為連結的 IP 地址之間存在相關性。我注意到 Google Mail 將 IP 連結到了,123.123.123.123: X Time(s)但它沒有將 IP 連結到123.123.123.123 : X Time(s). 考慮到這一點,我在“協商失敗”和“來自非法使用者”部分的 IP 之後和冒號之前添加了一個空格。自從這樣做以來——幾週前,現在——我沒有收到任何被 Google Mail 阻止的 logwatch 電子郵件。

更改/etc/logwatch/scripts/services/sshd包括:

  1. 在 sectionif (keys %NegotiationFailed) { ... }中,修改:
print "      $Host: " . timesplural($HostTotal);

到:

print "      $Host : " . timesplural($HostTotal);
  1. 在 sectionif (keys %IllegalUsers) { ... }中,修改:
print "   $name: " . timesplural($totcount);

到:

print "   $name : " . timesplural($totcount);

此處提供了顯示這些更改的要點。

筆記

我已經送出了一個願望清單請求,將上游 logwatch 更新檔添加到 Ubuntu 的 LTS 版本。我不確定它是否會被批准,但您可以在此處訂閱它以跟踪其狀態:https ://bugs.launchpad.net/ubuntu/+source/logwatch/+bug/1904362

引用自:https://serverfault.com/questions/977628