Fail2Ban [RESOLVIDO]

1. Fail2Ban [RESOLVIDO]

Diogo Adzgauskas Perucio
perucio

(usa Debian)

Enviado em 12/09/2012 - 14:23h

Tenho o Fail2Ban rodando normalmente no meu servidor de e-mail, mais quando tem alguma tentativa de ataque ele não me avisa via e-mail, quando reinicia o serviço recebo e-mail dele dizendo que foi reiniciado o serviçom, alguma dica?


  


2. Re: Fail2Ban [RESOLVIDO]

Thiago Pellison
thiago83

(usa CentOS)

Enviado em 12/09/2012 - 14:29h

Procure no seu conf a seguinte linha:

action = %(action_)s


Deixe-a igual abaixo:

action = %(action_mw)s


Ou se vc quiser receber todo tipo de notificação por e-mail:

action = %(action_mwl)s


Não esquece que no jail.local deve estar configurado o parametro de e-mail corretamente.

Reinicie o serviço após a alteração.

Abs

Thiago


3. Re: Fail2Ban [RESOLVIDO]

Diogo Adzgauskas Perucio
perucio

(usa Debian)

Enviado em 12/09/2012 - 14:39h

thiago83 escreveu:

Procure no seu conf a seguinte linha:

action = %(action_)s


Deixe-a igual abaixo:

action = %(action_mw)s


Ou se vc quiser receber todo tipo de notificação por e-mail:

action = %(action_mwl)s


Não esquece que no jail.local deve estar configurado o parametro de e-mail corretamente.

Reinicie o serviço após a alteração.

Abs

Thiago



Então já está assim no meu jail.conf! Olha meu conf:


[DEFAULT]
ignoreip = 127.0.0.1 192.168.200.0/24
bantime = 600
maxretry = 4
backend = polling
destemail = meu_e-mail

banaction = iptables-multiport
mta = sendmail
protocol = tcp

action_ = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s]
action_mw = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s]
%(mta)s-whois[name=%(__name__)s, dest="%(destemail)s", protocol="%(protocol)s]
action_mwl = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s]
%(mta)s-whois-lines[name=%(__name__)s, dest="%(destemail)s", logpath=%(logpath)s]

action = %(action_mw)s

[ssh]
enabled = true
port = ssh
filter = sshd
action = iptables[name=%(__name__)s, port=%(port)s]
logpath = /var/log/auth.log
maxretry = 4

[ssh-ddos]
enabled = true
port = ssh
filter = sshd-ddos
logpath = /var/log/auth.log
maxretry = 4

[apache]
enabled = true
port = http,https
filter = apache-auth
action = iptables[name=%(__name__)s, port=%(port)s]
logpath = /var/log/apache*/*error.log
maxretry = 4

[sasl]
enabled = true
port = smtp,ssmtp,imap2,imap3,imaps,pop3,pop3s
filter = sasl
action = iptables[name=sasl, port=smtp, protocol=tcp]
logpath = /var/log/mail.warn
maxretry = 4






4. Re: Fail2Ban [RESOLVIDO]

Diogo Adzgauskas Perucio
perucio

(usa Debian)

Enviado em 12/09/2012 - 17:29h

Deu certo, achei em uma forum americano, removi as linhas de action:

[ssh]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 4

[ssh-ddos]
enabled = true
port = ssh
filter = sshd-ddos
logpath = /var/log/auth.log
maxretry = 4

[apache]
enabled = true
port = http,https
filter = apache-auth
logpath = /var/log/apache*/*error.log
maxretry = 4

[sasl]
enabled = true
port = smtp,ssmtp,imap2,imap3,imaps,pop3,pop3s
filter = sasl
logpath = /var/log/mail.warn
maxretry = 4






Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts