Si el servidor se reinicia, o incluso si fail2ban se detiene / inicia, envía una notificación.
[asterisk-iptables]
enabled = true
filter = asterisk
action = iptables-allports[name=ASTERISK, protocol=all]
sendmail-whois[name=ASTERISK, [email protected], [email protected]]
logpath = /var/log/asterisk/messages
maxretry = 5
bantime = 259200
Al eliminar sendmail-whois lo detiene, pero también detiene las notificaciones de prohibición, ¿cómo puedo hacer que deje de notificarme cuando el proceso se inicia / detiene?
Gracias
No es necesario arreglar esto en ningún archivo. Depende de su configuración en
jail.conf
.Si configuró
mta = sendmail
, puede reducir los archivosaction.d/sendmail-*
.Entonces tienes que mirar tu
action = %(action_*)s
. Si configuróSi configuró mta para "correo", simplemente cambie sendmail a correo y configure el archivo específico.
¡No olvide reiniciar después de comentar el archivo!
fuente
.conf
o.local
? Pero tal vez simplemente no entiendo porque esta respuesta es muy antigua. La respuesta de Jim funciona en 2019.Para solucionar esto en Fail2Ban v0.9.1 (del repositorio de epel) en CentOS 7 (RHEL 7), puede anular las acciones de inicio y detención de sendmail (establecerlas en nada) en /etc/fail2ban/action.d/sendmail-common. local. Creo este archivo ejecutando estos comandos como root:
fuente
.local
variante se cargará después del.conf
archivo, pero ambos se cargarán antes de las definiciones en los(send)mail-*.conf
archivos que configuran las acciones. No hay otra forma que editar los archivos de acción, el más limpio / minimalista es agregar unafter
gancho en esos archivos que apuntan a la misma inclusión. Cf. osso.nl/blog/fail2ban-started-e-mail-disable . También podría duplicar todos esos archivos y crear otra rama completa, es decircustommail-*.conf
, que evite modificar los archivos predeterminados..local
archivos. Todo en 0.9 puede ser anulado de los.local
archivos, pero esto no era cierto en 0.8 y anteriores.La única forma en que encontré deshabilitar las notificaciones de inicio / detención fue comentar las secciones
actionstart
yactionstop
en todos estos archivos enaction.d/
:fuente
Intentando juntar los fragmentos de las respuestas anteriores, con algunos detalles más y comandos largos para los perezosos.
Su
jail.{conf,local}
define cómo se envían los correos. Por defecto, lo essendmail
. Comprobar con:Para ver qué acciones de inicio / detención están configuradas para sus cárceles, use
fail2ban-client -d
.Poniendo ambos juntos:
En mi configuración, la salida es
'sendmail-whois-lines',
para que sea el archivo a editar. Suponiendo que su configuración esté en / etc / fail2ban, el nombre completo del archivo es/etc/fail2ban/action.d/sendmail-whois-lines.conf
.Sin embargo, como menciona Rabin, no edite ese archivo directamente, ya que se sobrescribirá durante las actualizaciones. En su lugar, cree
/etc/fail2ban/action.d/sendmail-whois-lines.local
(o lo queaction.d/file-name.local
sea correcto en su configuración) y agregue estas líneas:O, para los realmente flojos que no pueden molestarse en buscar y crear el archivo correcto:
fuente
Anule las definiciones actionstart y actionstop
/etc/fail2ban/action.d/sendmail-common.conf
creando un archivo/etc/fail2ban/action.d/sendmail-common.local
.Agregue el texto a continuación a este archivo
Ahora no recibe ningún correo al iniciar / detener el servicio fail2ban.
fuente
0644
y de su propiedadroot
). Esto me mordió hoy.Encontré una manera rápida y fácil de hacer esto:
cd
en su/etc/fail2ban/action.d
directorioLuego, simplemente reemplace cada declaración de actionstart con la suya, que para mí estaba en blanco.
Esto agregará una nueva sección actionstart y actionstop a cada archivo que se envíe por correo.
1 línea, trabajo realizado.
fuente
Yo no recomiendo cambiar los archivos por defecto que viene con el paquete (como algunos sugirieron aquí), que se sobrescribirán la próxima vez que actualice ellos.
Simplemente copie la acción que está usando en ese caso
sendmail-whois
en un nuevo archivo,sendmail-mod
asígnele el nombre que desee, por ejemplo, y en este archivo debe comentar (o eliminar) las partes actionstart / actionstop.A continuación, cambie la acción en el archivo de configuración (jail.conf / jail.local), para usar la nueva acción.
Desde:
A:
fuente
Primero, como algunas personas mencionaron, parece mejor crear un archivo ".local" y hacer los cambios en él, que editar el archivo ".conf" original, que podría anularse en futuras actualizaciones.
En pocas palabras, basado en este excelente enlace: http://tonesworld.co.uk/fail2ban-disable-stop-and-start-emails/ , hice los siguientes pasos y resolvió el problema:
1. Cree un nuevo archivo y edítelo:
sudo nano /etc/fail2ban/action.d/stop-start.local
2. Pegue dentro (luego salga y guarde):
3. Si fail2ban usa "mail" para enviar correos electrónicos:
Si fail2ban usa "sendmail" para enviar correos electrónicos:
4. Reiniciar para aplicar los cambios:
sudo service fail2ban restart
Nota final: en la primera vez después de aplicar estos cambios, aún verá los mensajes de "detención", porque los nuevos cambios aún no se han aplicado.
fuente
Esta es mi solución para lo que vale, crear un archivo bash y ejecutarlo:
La primera parte del código define una lista de archivos que desea cambiar, la segunda mitad básicamente comenta esas secciones utilizando el comando awk .
Podría hacerse en un código / comando de una línea que itera todos los archivos y recorre las palabras, pero traté de hacerlo lo más claro posible.
fuente