Parar as notificações de parada / início do fail2ban

12

Se o servidor for reiniciado, ou mesmo se o fail2ban estiver parado / iniciar, ele enviará uma notificação.

[asterisk-iptables]
enabled  = true
filter   = asterisk
action   = iptables-allports[name=ASTERISK, protocol=all]
           sendmail-whois[name=ASTERISK, [email protected], [email protected]] 
logpath  = /var/log/asterisk/messages
maxretry = 5
bantime = 259200

Remover o sendmail-whois o interrompe, mas ele também interrompe as notificações de bloqueio, como posso fazer com que ele pare de me notificar quando o processo é iniciado / interrompido?

Obrigado

    
por Michael 08.04.2011 / 18:41

8 respostas

10

Dê uma olhada no action.d/mail.conf ou action.d/sendmail.conf que controla o e-mail para iniciar / parar / ban.

    
por 08.04.2011 / 18:48
9

Não é necessário corrigir isso em nenhum arquivo. Depende da sua configuração em jail.conf .

Se você configurou mta = sendmail , poderá restringir os arquivos action.d/sendmail-* .

Então você tem que olhar seu action = %(action_*)s . Se você configurou

"action_": comment "actionstart" & "actionstop" in action.d/sendmail.conf

"action_mw": comment ... in action.d/sendmail-whois.conf

"action_mwl": comment ... in action.d/sendmail-whois-lines.conf

Se você configurou mta para "mail", apenas mude sendmail para mail e configure o arquivo específico.

Não se esqueça de reiniciar depois de comentar o arquivo!

    
por 07.11.2012 / 10:27
7

A única maneira que encontrei de desativar as notificações de início / parada foi comentar as seções actionstart e actionstop em todos desses arquivos em action.d/ :

mail-buffered.conf
mail.conf
mail-whois.conf
mail-whois-lines.conf
sendmail-buffered.conf
sendmail.conf
sendmail-whois.conf
sendmail-whois-lines.conf
    
por 11.10.2012 / 23:31
6

Para corrigir isso no Fail2Ban v0.9.1 (do epel repository) no CentOS 7 (RHEL 7), você pode sobrescrever as ações de início e parada do sendmail (configure-as para nada) em /etc/fail2ban/action.d/sendmail -common.local. Eu crio este arquivo executando estes comandos como root:

cat << EOF >> /etc/fail2ban/action.d/sendmail-common.local
# Override the Fail2Ban defaults in sendmail-common.conf with these entries

[Definition]
# Disable email notifications of jails stopping or starting
actionstart =
actionstop =
EOF
cat /etc/fail2ban/action.d/sendmail-common.local
    
por 10.01.2015 / 05:47
3

Tentando reunir os bits e as partes das respostas anteriores, com mais detalhes e comandos longos para os preguiçosos.

Seu jail.{conf,local} define como os e-mails são enviados. Por padrão, é sendmail . Verifique com:

grep 'mta *=' jail.{conf,local}

Para ver quais ações de início / parada estão configuradas para suas prisões, use fail2ban-client -d .

Colocando os dois juntos:

mta=$(grep 'mta *=' /etc/fail2ban/jail.{conf,local} | awk '{print $NF}')
fail2ban-client -d | awk "/action(start|stop).*$mta/ {print \}" | sort -u

Na minha configuração, a saída é 'sendmail-whois-lines', , então esse é o arquivo a ser editado. Supondo que sua configuração esteja em / etc / fail2ban, o nome completo do arquivo é /etc/fail2ban/action.d/sendmail-whois-lines.conf .

No entanto, como menciona Rabin, não edite esse arquivo diretamente, porque ele será sobrescrito durante as atualizações. Em vez disso, crie /etc/fail2ban/action.d/sendmail-whois-lines.local (ou qualquer que seja o action.d/file-name.local na configuração) e adicione as seguintes linhas:

[Definition]
actionstart =
actionstop  =

Ou, para os realmente preguiçosos que não se incomodam em procurar e criar o arquivo certo:

mta=$(grep 'mta *=' /etc/fail2ban/jail.{conf,local} | awk '{print $NF}')
fail2ban-client -d \
| awk "/action(start|stop).*$mta/ {print \}" \
| sort -u \
| while read f; do \
    f=${f//\'/}
    f="/etc/fail2ban/action.d/${f/%,/}.local"
    cat <<EOF >>"$f"
[Definition]
actionstart =
actionstop  =
EOF
done
    
por 03.01.2016 / 16:07
1

Substitua as definições actionstart e actionstop em /etc/fail2ban/action.d/sendmail-common.conf criando um arquivo /etc/fail2ban/action.d/sendmail-common.local .

Adicione o texto abaixo a este arquivo

[Definition]
actionstart =
actionstop =

Agora você não está recebendo nenhum e-mail no início / parada do serviço fail2ban.

    
por 20.08.2017 / 17:26
0

Eu encontrei uma maneira rápida e fácil de fazer isso:

cd no seu diretório /etc/fail2ban/action.d .

Em seguida, simplesmente substitua cada declaração de início de ação pela sua, o que para mim estava em branco.

for FILE in *mail* ; do echo -e "actionstart =\nactionstop =\n" >> $FILE ; done

Isso adicionará uma nova seção actionstart e actionstop a cada arquivo enviado por e-mail.

1 linha, trabalho concluído.

    
por 06.08.2014 / 21:47
0

Eu não recomendo alterar os arquivos padrão que vêm com o pacote (como alguns sugeriram aqui), eles serão sobrescritos da próxima vez que você os atualizar.

Basta copiar a ação que você está usando nesse caso sendmail-whois para um novo arquivo, nomeá-lo como você gosta, por exemplo, sendmail-mod e nesse arquivo você precisa comentar (ou excluir) as partes actionstart / actionstop.

Em seguida, altere a ação no arquivo de configuração (jail.conf / jail.local), para usar a nova ação.

De:

action   = iptables-allports[name=ASTERISK, protocol=all]
           sendmail-whois[name=ASTERISK, [email protected], [email protected]] 

Para:

action   = iptables-allports[name=ASTERISK, protocol=all]
           sendmail-mod[name=ASTERISK, [email protected], [email protected]] 
    
por 06.08.2014 / 22:58

Tags