[+] fail2ban - tuning powiadomie

[mariaczi]

Zerkałeś w pełny nagłówek tych maili?
Masz użytkownika fail2ban w systemie? U mnie po domyślnej instalacji go nie widzę.

Tak jak pokazywał sethiel - proces działa z konta roota i może dlatego wiadomości są wysłane właśnie z niego.
Próbowałeś zmienić definicję mailcmd aby korzystał z sendmaila? Przy nim opcja "-f" wskazuje adres jaki ma zostać użyty jako nadawcy.

[LordRuthwen]

Kod: Zaznacz cały

Return-Path: <root@mojadomena.pl> 
Delivered-To: lukasz@mojainnadomena.pl 
Received: by mojadomena.pl (Postfix)
     id 7509721838; Tue, 10 Mar 2015 08:33:11 +0100 (CET) 
Delivered-To: root@mojadomena.pl 
Received: by mojadomena.pl (Postfix, from userid 0)
     id 6175D21839; Tue, 10 Mar 2015 08:33:11 +0100 (CET)
 DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=mojadomena.pl;
     <DKIM> 
Date: Tue, 10 Mar 2015 08:33:11 +0100 
To: root@mojadomena.pl 
Subject: [Fail2Ban] apache-wp-login: banned 94.224.102.153 
User-Agent: Heirloom mailx 12.5 6/20/10 
MIME-Version: 1.0 
Content-Type: text/plain; charset=us-ascii 
Content-Transfer-Encoding: quoted-printable 
Message-Id: <20150310073311.6175D21839@mojadomena.pl> 
From: root@mojadomena.pl (root)

Wiem, że działa z konta roota, ale myślałem, że coś mu się pokopało, stąd pytanie na jakim u niego działa. Użytkownik systemowy fail2ban też nic nie daje.
Zmianę mailcmd sprawdzę dzisiaj.

//edycja:
No i zagadka rozwiązana, dzięki mariaczi i sethiel na nakierowanie, trzeba było zmienić nie tylko w complain.conf mailcmd na sendmail ale również w jail.conf mta z mail na sendmail.
Przedstawia się teraz użytkownikiem systemowym fail2ban. Na razie mi to wystarczy.

//edycja 2:
Jednak nie, bo teraz maile wysyła tylko do mnie a nie na abuse delikwenta...
I jeszcze ciekawostka, walcząc z fail2banem miałem włączone na żywca logi i moim oczom ukazało się to:

Kod: Zaznacz cały

OQUEUE: reject: RCPT from mail-lb0-f178.google.com[209.85.217.178]: 554 5.7.1 Service unavailable; Client host [209.85.217.178] blocked using dnsbl.sorbs.net; Currently Sending Spam See: http://www.sorbs.net/lookup.shtml?209.85.217.178;

Nie kryję zadowolenia, że to w końcu ja ich odrzucam a nie odwrotnie :P

[sethiel]

Jednak nie, bo teraz maile wysyła tylko do mnie a nie na abuse delikwenta...

Masz magię tam włączoną jakąś? Że niby fail2ban blokuje sprawdza automatem whois/ripe i wysyła na abuse wroga info, że jest nieładny?
To jak tak to wyjaw sekret.

[pawkrol]

Zerknij: http://d0m.me/2014/08/24/fail2ban-send- ... use-email/

Myślę że pewnie trzeba by troszkę przerobić skrypt /etc/fail2ban/action.d/sendmail-whois.conf

Bo szerze powiedziawszy to nie słyszałem, że fail2ban wysyłał także maila na adres abuse atakującego. Ale jest to logiczne i warte zajęcia się tym.

[LordRuthwen]

sethiel, tak.
Tak to właśnie działa, że po zablokowaniu delikwetna leci mail na abuse podany w ripe.
Magia raz proszę: entries/309-Automatyczne-wysy%C5%82anie ... 2a-o-ataku
Proszę nie wyśmiewać metod, robiłem to dość chwilę temu

[sethiel]

Piękne - zrobię to na pewno.
cyt drugi akapit:

"Zapewne to ostatnie można by było zrobić w bardziej eleganski sposób(...)

elegancki (literówka Ci się wkradła).

[pawkrol]

Jednak nie, bo teraz maile wysyła tylko do mnie a nie na abuse delikwenta...

A jakbyś zmienił troszkę wpis w complain pod sendmaila

Kod: Zaznacz cały

(printf %%b "<message>\n"; date '+Note: Local timezone is %%z (%%Z)'; grep -E '(^|[^0-9])<ip>([^0-9]|$)' $LOGPATH2 )| [B]/usr/sbin/sendmail -f <sender> $ADDRESSES[/B]

[mariaczi]

@LordRuthwen - Jeśli możesz podepnij link do tego wątku w swoim tutorialu, nim naniesiesz w nim poprawki

[LordRuthwen]

Mówisz i masz, pogrzebałem trochę, potestuję kilka dni i jak działą to uzupełnię tutorial.

[LordRuthwen]

Sprawdzone, działa, wpis na blogu zaktualizowany.