Fiz fail2ban enviar notificação para parte banida

Parece que há uma ação que vem com o fail2ban chamado complain . Observe a linha com complain[logpath=/var/log/secure] :

# /etc/fail2ban/jail.conf    

[ssh-iptables]

enabled  = true
filter   = sshd
action   = iptables-allports[name=SSH, protocol=all]
           sendmail-whois[name=SSH, [email protected], sender=fail2ban]
           complain[logpath=/var/log/secure]
logpath  = /var/log/secure
maxretry = 3

Adicione essa linha e reinicie o serviço fail2ban. O arquivo conf ação é /etc/fail2ban/action.d/complain.conf. Breve descrição:

Sends a complaint e-mail to addresses listed in the whois record for an offending IP address.

É possível. (Dependendo de como você define estritamente "ter fail2ban fazer isso.") Não me parece uma perda particularmente proveitosa de tempo.

Basicamente, você levaria seu whois para obter o proprietário do domínio e enviaria um e-mail para abuso @ [domínio]. [tld] para informar que alguém em um de seus hosts está tentando obter acesso não autorizado ao seu sistema e anexar os logs, presumivelmente. (Você também pode enviar um para o e-mail no whois, como sugere, mas é muito menos provável que ele alcance alguém que se importe ou possa fazer algo a respeito.) Você teria que esperar que:

1. abuse é o endereço certo (você poderia tentar outros, mas isso seria o mais comum até o momento) e é monitorado. (O mesmo do endereço de e-mail listado no whois - se não for válido ou não for monitorado, você perderá seu tempo logo de cara.)
2. O anfitrião dá a mínima.
3. O host não está nele.
4. O host tem uma abundância de tempo livre para rastrear o usuário perverso.
5. O host tem a capacidade técnica de rastrear o usuário perverso.
6. O usuário impertinente não liga de imediato os hosts / sistemas comprometidos e continua desimpedido.

Qualquer uma dessas condições sendo falsas garante que você está perdendo seu tempo completamente, e na minha experiência, 2, 4, 5 e 6 são quase sempre falsas, então o que você está procurando é um desperdício completo de tempo, a menos que você esteja procurando usar isso como uma experiência de aprendizado para se tornar um melhor criador de scripts.

Para adicionar a resposta de @Banjer (o que é correto): você realmente não precisa das duas ações "sendmail-whois" e "reclamar" se você configurar a ação "reclamar" corretamente:

# /etc/fail2ban/jail.conf    
[ssh-iptables]
enabled  = true
filter   = sshd
action   = iptables-allports[name=SSH, protocol=all]
           complain[logpath=/var/log/secure]
logpath  = /var/log/secure
maxretry = 3

E:

# /etc/fail2ban/action.d/complain.conf
[Init]
message = <insert body-text here>\n\nWhois information about $IP:\n'/usr/bin/whois $IP'\n
logpath = /dev/null
mailcmd = mail -s
mailargs = -c <insert your e-mailaddress here> -- -f root@<insert your domain here>

Dessa forma, o provedor de serviços de Internet que administra o endereço IP ofensivo será contatado automaticamente E você receberá uma cópia do e-mail em cc: (opção '-c' para a variável mailargs). < br> Eu também adicionei a informação WHOIS à variável message, que não é um padrão na configuração Debian, mas é um ótimo complemento para a mensagem padrão.