Informatyczne życie X: lipca 2014

piątek, 4 lipca 2014

Testowanie ustawień fail2ban lub logowanie do pliku

Temat fail2ban powraca :). Czasem zamiast banować niewiadomo w jaki sposób potrzebujemy tylko informacji, żeby sobie ogarnąć co i jak, a po kilku dniach działania, np, żeby nie zastosować zbyt represyjnej reguły docelowej. Żeby to osiągnąć to w pierwszej kolejności modyfikujemy naszą regułę w pliku:

/etc/fail2ban/jail.conf

np.:
[smtpauth-iptables]

Akcję ustawiamy ustawaiamy na log:

action = log

i tworzymy plik konfiguracyjny akcji, który ma znaleźć się w pliku:
/etc/fail2ban/action.d/log.conf
kopiujemy poniższą zawartość i umieszczamy ww pliku
--------------------KOPIUJ-PONIZEJ----------------------------
# Fail2Ban configuration file
#
# Author: Grzegorz Zalewski
# Modified :
#
# $Revision:.
#

[Definition]

# Option: actionstart
# Notes.: command executed once at the start of Fail2Ban.
# Values: CMD
#
actionstart =.

# Option: actionstop
# Notes.: command executed once at the end of Fail2Ban
# Values: CMD
#
actionstop =.

# Option: actioncheck
# Notes.: command executed once before each actionban command
# Values: CMD
#
actioncheck =.

# Option: actionban
# Notes.: command executed when banning an IP. Take care that the
#          command is executed with Fail2Ban user rights.
# Tags:    <ip> IP address
#          <failures> number of failures
#          <time> unix timestamp of the ban time
# Values: CMD
#
actionban = echo `date` BAN <ip> >> /var/log/fail2ban_iplog.txt

# Option: actionunban
# Notes.: command executed when unbanning an IP. Take care that the
#          command is executed with Fail2Ban user rights.
# Tags:    <ip> IP address
#          <failures> number of failures
#          <time> unix timestamp of the ban time
# Values: CMD
#
actionunban = echo `date` UNBAN <ip> >> /var/log/fail2ban_iplog.txt

[Init]

# Option: port
# Notes.: specifies port to monitor
# Values: [ NUM | STRING ]
#
port =

# Option: localhost
# Notes.: the local IP address of the network interface
# Values: IP
#
localhost = 127.0.0.1
--------------------KOPIUJ-POWYZEJ----------------------------

Jeśli chcemy, żeby zamiast logować zaczął banować, to dajemy #action = log w pliku jail.conf
i usuwamy # z

#action   = iptables[name=SMTP, port=smtp, protocol=tcp]

Jeśli chcemy to i to action modyfikujemy na:

action = iptables[name=SMTP, port=smtp, protocol=tcp]
    log

Przyjemnego zbierania logów

Witaj

Do powstania tego blogu zmusiła mnie rzeczywistość. Czasem trafia się na dany problem rzadziej, a czasem częściej. Właśnie te rzadsze przypadki czasem przyprawiają o ból głowy bo się nie pamięta w jaki sposób dany problem się rozwiązało i ponowne rozwiązanie zajmuje znowu sporo czasu. Mam zamiar opisywać tutaj wszystkie ciekawe i mniej ciekawe problemy, z którymi się borykałem, borykam, lub będę się borykał. Jeśli i Tobie przy okazji pomogę to bardzo się cieszę. Jeśli chcesz opublikować, któreś z moich rozwiązań to poinformuj mnie o tym i nie zapomnij podać źródła. No i oczywiście na koniec najważniejsze:
WSZYSTKIE DZIAŁANIA, KTÓRE ZROBISZ WEDŁUG MOICH OPISÓW ROBISZ NA WŁASNA ODPOWIEDZIALNOŚĆ. ZA SKUTKI NIE ODPOWIADAM.
Miłego dnia życzę.