Execute o fail2ban sem banir

Se você procurar no jail.conf, verá uma linha que diz isso:

# Default banning action (e.g. iptables, iptables-new,
# iptables-multiport, shorewall, etc) It is used to define
# action_* variables. Can be overriden globally or per
# section within jail.local file
banaction = iptables-multiport

Todas as ações estão em /etc/action.d /

Você pode criar um que apenas envie e-mails. Existem algumas ações que podem fazer o que você deseja.

Ironicamente fail2ban não possui um método para executar um "dry run or "no-ops" running of the actions defined within. Your only options are to temporarily change the banaction" que é definido para uma cadeia específica, sobrescrevendo-o para uma determinada cadeia ou sobrescrevendo as ações em si.

Nas versões mais recentes de fail2ban , você pode criar substituições com bastante facilidade, criando arquivos com nome idêntico com o sufixo .local em vez de .conf . Você também tem acesso aos subdiretórios actions.d e jail.d , onde é possível substituir os arquivos de configuração de um jail específico, para que você possa redefinir valores para variáveis que foram definidas anteriormente, como banaction .

Então diga que o seu jail.conf ou jail.local tinha isso:

[sshd]

port    = ssh
logpath = %(sshd_log)s
banaction = iptables-multiport

Você pode substituir essa prisão, criando um novo arquivo em jail.d com o seguinte:

[sshd]

port    = ssh
logpath = %(sshd_log)s
banaction = iptables-multiport-debug

Você precisaria criar um arquivo correspondente em action.d chamado iptables-multiport-debug.conf . Você também pode abrir mão disso e simplesmente substituir o arquivo banaction no diretório action.d . Simplesmente copie o arquivo iptables-multipart.conf preexistente para iptables-multipart.local .

OBSERVAÇÃO: Tenha cuidado ao fazer as 2as opções, pois você estará substituindo o banaction de qualquer cadeia que possa usá-lo.