Erhalte nicht für alle Bans ne Mail

Alle Fragen, die rund um Fail2Ban (Konfiguration, Fehler, Filter...) sind.
Antworten
nuhll
Beiträge: 8
Registriert: 8. Mär 2016, 18:55

Erhalte nicht für alle Bans ne Mail

Beitrag von nuhll » 8. Mär 2016, 18:57

Hi,
ich erhalte nicht für alle Bans ne Mail, ich konnte keine Unterschiede feststellen.

Z.B. erhalte ich eine Mail bei "Apache noscript", aber nicht bei:
2016-03-08 07:49:44,467 fail2ban.actions: WARNING [apache-wplogin] Unban 50.62.30.229
2016-03-08 09:34:36,137 fail2ban.actions: WARNING [apache-wplogin] Ban 104.232.103.226
2016-03-08 09:54:53,198 fail2ban.actions: WARNING [apache-wpxml] Ban 188.163.78.47
2016-03-08 13:54:59,774 fail2ban.actions: WARNING [http-get-dos] Unban 208.109.106.228
2016-03-08 13:59:22,057 fail2ban.actions: WARNING [http-get-dos] Ban 208.109.106.228
2016-03-08 14:18:21,989 fail2ban.actions: WARNING [apache-wpxml] Unban 109.228.22.171
2016-03-08 15:11:13,341 fail2ban.actions: WARNING [apache-wpxml] Unban 74.208.158.208
2016-03-08 18:13:08,976 fail2ban.actions: WARNING [apache-wpxml] Unban 121.225.215.22
2016-03-08 18:15:22,129 fail2ban.actions: WARNING [apache-wpxml] Ban 212.43.96.40
2016-03-08 18:15:44,158 fail2ban.actions: WARNING [apache-wpxml] Ban 91.229.213.2

Wobei ich wpxml und wplogin selbst hinzugefügt habe, http-get-dos habe ich aus ner Anleitung eingefügt...

Tjoa jemand ne Idee wonach es geht ob ne Mail geschickt wird oder nicht?

Danke für eure Hilfe.

PS: ich schätze sowas wie ne Mail einmal jeden tag mit allen blocks ist mit fial2ban nicht möglich? :)

Benutzeravatar
Martin
Beiträge: 400
Registriert: 14. Sep 2010, 11:54
Kontaktdaten:

Re: Erhalte nicht für alle Bans ne Mail

Beitrag von Martin » 8. Mär 2016, 20:05

Hi,

steht in der jail.con/jail.local evtl. bei den Jails, wo keine Mail raus geht, eine andere Action-Anweisung drin?
Für die Dienste, welche über blocklist.de reported werden können, gibt es für "mail", "web", "ssh", "bruteforce" einstellbare Tages-/Wochen-/Monats-Reports der gemeldeten IPs.
Mfg Martin
http://www.blocklist.de/de/ Fail2Ban Reporting Service

nuhll
Beiträge: 8
Registriert: 8. Mär 2016, 18:55

Re: Erhalte nicht für alle Bans ne Mail

Beitrag von nuhll » 9. Mär 2016, 09:57

Ja, ka. Ich habe die änderung so gemacht wie in der FAQ von fail2ban beschrieben:

Code: Alles auswählen

# Choose default action.  To change, just override value of 'action' with the
# interpolation to the chosen action shortcut (e.g.  action_mw, action_mwl, etc) in jail.local
# globally (section [DEFAULT]) or per specific section
#action = %(action_)s
action = %(action_mwl)s
Soweit ich das verstehe sollte das ja nun die STANDARD action sein, oder? Warum wird die nur bei einigen Bans benutzt?

PS: ich habe keine jail.local?

nuhll
Beiträge: 8
Registriert: 8. Mär 2016, 18:55

Re: Erhalte nicht für alle Bans ne Mail

Beitrag von nuhll » 9. Mär 2016, 18:32

bedeutet dein post das ich in fail2ban die email funktion abstellen könnte wenn ich eure Blocklist nutze und dann einfach bei euch einen report bekomme z.B. Wöchentlich?

Benutzeravatar
Martin
Beiträge: 400
Registriert: 14. Sep 2010, 11:54
Kontaktdaten:

Re: Erhalte nicht für alle Bans ne Mail

Beitrag von Martin » 10. Mär 2016, 04:31

Hallo nuhll,

wenn in der Jail vom einzelnen Dienst die "action"-Anweisung nicht überschrieben wird, ja, sollte er bei allen Diensten, bei jeder Sperrung eine Mail senden.
Du kannst einmal in der fail2ban.conf bei logging auf "4" stellen, dann sollte in der /var/log/fail2ban.log etwas mehr drin stehen und evtl. der Grund ersichtlich sein.

Ja, bei uns kannst du z.B. wöchentlich eine Zusammenfassung und Auflistung erhalten.
Dort sind aber nicht alle "Dienst-Typen" enthalten, also aktuell nur "ssh", "imap", "apache (bruteforce, ddos, regbot...)", "mail (sasl, smtp-auth, relaying.....)".
Die Mails müssen dann aber trotzdem von Fail2Ban an "fail2ban@blocklist.de" oder per http-API eingeliefert werden, nur du brauchst dann die einzelnen Mails nicht mehr zu prüfen, bzw. durch zu gehen.
Mfg Martin
http://www.blocklist.de/de/ Fail2Ban Reporting Service

nuhll
Beiträge: 8
Registriert: 8. Mär 2016, 18:55

Re: Erhalte nicht für alle Bans ne Mail

Beitrag von nuhll » 11. Mär 2016, 12:54

Code: Alles auswählen

[apache-wpxml]
enabled = true
filter  = apache-wpxml
action = iptables-multiport[name=apache-wpxml, port="http,https", protocol=tcp]
port     = http,https
logpath = /var/log/apache2/test.log
maxretry = 4
findtime = 30
bantime = 86400

[apache-wplogin]
enabled = true
filter  = apache-wplogin
action = iptables-multiport[name=apache-wplogin, port="http,https", protocol=tcp]
port     = http,https
logpath = /var/log/apache2/test.log
maxretry = 4
findtime = 300
bantime = 86400

[http-get-dos]
enabled = true
port = http,https
filter = http-get-dos
logpath = /var/log/apache2/test.log
# maxretry is how many GETs we can have in the findtime period before getting narky
maxretry = 300
# findtime is the time period in seconds in which we're counting "retries" (300 seconds = 5 mins)
findtime = 300
# bantime is how long we should drop incoming GET requests for a given IP for, in this case it's 5 minutes
bantime = 86400
action = iptables[name=HTTP, port=http, protocol=tcp]
Das ist die jail.conf wo ich keine Mails bekomme, was müsste ich dort ändern?

Benutzeravatar
Martin
Beiträge: 400
Registriert: 14. Sep 2010, 11:54
Kontaktdaten:

Re: Erhalte nicht für alle Bans ne Mail

Beitrag von Martin » 11. Mär 2016, 14:25

Hi,

also bei allen Zeilen mit:
action = iptables[xxxx
müsstes noch eine zweite Zeile darunter einfügen, damit es wie folgt aussieht:

Code: Alles auswählen

action = iptables[xxxxxx
             sendmail-whois-lines[name=%(__name__)s, dest="%(destemail)s", sender="%(sendermail)s", logpath=%(logpath)s]
bzw.:

Code: Alles auswählen

action = iptables[xxxxxx
             sendmail-whois-lines[name=xxxxxx-von-dem-server-dienst, dest="fail2ban@blocklist.de,deine-adresse@domain.tld", sender="server@domain.tld-wie-im-blocklist.de-profil", logpath=%(logpath)s]
Dann sollte es nach einem Fail2ban restart/reload gehen.
Mfg Martin
http://www.blocklist.de/de/ Fail2Ban Reporting Service

nuhll
Beiträge: 8
Registriert: 8. Mär 2016, 18:55

Re: Erhalte nicht für alle Bans ne Mail

Beitrag von nuhll » 11. Mär 2016, 20:08

Okay und wie würde die action aussehen wenn man es nicht an euren Dienst schickt sondern (selbst) ne Mail erhalten will? (Weil ich hab das erst seit gestern drauf und bevor ich irgendwas reporte muss ich ja sicher gehen das keine false positives dabei sind).

Benutzeravatar
Martin
Beiträge: 400
Registriert: 14. Sep 2010, 11:54
Kontaktdaten:

Re: Erhalte nicht für alle Bans ne Mail

Beitrag von Martin » 11. Mär 2016, 20:24

zum sperren und an dich mailen, wäre es dann so:

Code: Alles auswählen

action = iptables[xxxxxx, service=xxxxx]
             sendmail-whois-lines[name=xxxxxx-von-dem-server-dienst, dest="deine-adresse@domain.tld", sender="server@domain.tld", logpath=%(logpath)s]
Mfg Martin
http://www.blocklist.de/de/ Fail2Ban Reporting Service

nuhll
Beiträge: 8
Registriert: 8. Mär 2016, 18:55

Re: Erhalte nicht für alle Bans ne Mail

Beitrag von nuhll » 17. Mär 2016, 11:04

Was ich nicht verstehe.... die anderen wo ich E-Mails bekomme sehen nciht so aus... wieso?

Benutzeravatar
Martin
Beiträge: 400
Registriert: 14. Sep 2010, 11:54
Kontaktdaten:

Re: Erhalte nicht für alle Bans ne Mail

Beitrag von Martin » 26. Mär 2016, 19:45

Hi,

sind die Einträge in der Jail anders?
Es gibt bei fail2ban verschiedene Mail-Arten, die in action.d/***.conf vorhanden sind, z.B. für sendmail-whois-lines.conf, mail.conf usw.
Evtl. wurde dort nur "sendmail" bei der action angegeben?
Mfg Martin
http://www.blocklist.de/de/ Fail2Ban Reporting Service

Antworten