piątek, 4 lipca 2014

Testowanie ustawień fail2ban lub logowanie do pliku

Temat fail2ban powraca :). Czasem zamiast banować niewiadomo w jaki sposób potrzebujemy tylko informacji, żeby sobie ogarnąć co i jak, a po kilku dniach działania, np, żeby nie zastosować zbyt represyjnej reguły docelowej. Żeby to osiągnąć to w pierwszej kolejności modyfikujemy naszą regułę w pliku:

/etc/fail2ban/jail.conf


np.:
[smtpauth-iptables]

Akcję ustawiamy ustawaiamy na log:

action = log

i tworzymy plik konfiguracyjny akcji, który ma znaleźć się w pliku:
/etc/fail2ban/action.d/log.conf
kopiujemy poniższą zawartość i umieszczamy ww pliku
--------------------KOPIUJ-PONIZEJ----------------------------
# Fail2Ban configuration file
#
# Author: Grzegorz Zalewski
# Modified :
#
# $Revision:.
#


[Definition]

# Option:  actionstart
# Notes.:  command executed once at the start of Fail2Ban.
# Values:  CMD
#
actionstart =.


# Option:  actionstop
# Notes.:  command executed once at the end of Fail2Ban
# Values:  CMD
#
actionstop =.


# Option:  actioncheck
# Notes.:  command executed once before each actionban command
# Values:  CMD
#
actioncheck =.


# Option:  actionban
# Notes.:  command executed when banning an IP. Take care that the
#          command is executed with Fail2Ban user rights.
# Tags:    <ip>  IP address
#          <failures>  number of failures
#          <time>  unix timestamp of the ban time
# Values:  CMD
#
actionban = echo `date` BAN <ip> >> /var/log/fail2ban_iplog.txt


# Option:  actionunban
# Notes.:  command executed when unbanning an IP. Take care that the
#          command is executed with Fail2Ban user rights.
# Tags:    <ip>  IP address
#          <failures>  number of failures
#          <time>  unix timestamp of the ban time
# Values:  CMD
#
actionunban = echo `date` UNBAN <ip> >> /var/log/fail2ban_iplog.txt

[Init]

# Option:  port
# Notes.:  specifies port to monitor
# Values:  [ NUM | STRING ]
#
port =

# Option:  localhost
# Notes.:  the local IP address of the network interface
# Values:  IP
#
localhost = 127.0.0.1

--------------------KOPIUJ-POWYZEJ----------------------------

Jeśli chcemy, żeby zamiast logować zaczął banować, to dajemy #action = log w pliku jail.conf
i usuwamy # z

#action   = iptables[name=SMTP, port=smtp, protocol=tcp]

Jeśli chcemy to i to action modyfikujemy na:

action = iptables[name=SMTP, port=smtp, protocol=tcp]
     log


Przyjemnego zbierania logów


Brak komentarzy:

Prześlij komentarz