Eu tenho o fail2ban configurado e funcionando no meu sistema. Em /etc/fail2ban/jail.local, tenho o seguinte para meu e-mail de destino:
destemail = [email protected]
No entanto, olhando meu /var/log/mail.logarquivo, continuo vendo:
Jul 23 21:19:04 picus sendmail[21205]: x6O1J489021205: from=fail2ban, size=210, class=0, nrcpts=1, msgid=<[email protected]>, relay=root@localhost
Jul 23 21:19:04 picus sm-mta[21207]: x6O1J4vh021207: from=<[email protected]>, size=461, class=0, nrcpts=1, msgid=<[email protected]>, proto=ESMTP, daemon=MTA-v4, relay=localhost [127.0.0.1]
Jul 23 21:19:04 picus sendmail[21205]: x6O1J489021205: to=root, delay=00:00:00, xdelay=00:00:00, mailer=relay, pri=30210, relay=[127.0.0.1] [127.0.0.1], dsn=2.0.0, stat=Sent (x6O1J4vh021207 Message accepted for delivery)
Jul 23 21:19:04 picus sm-mta[21208]: x6O1J4vh021207: to=linode, ctladdr=<[email protected]> (8/0), delay=00:00:00, mailer=local, pri=120461, dsn=5.1.1, stat=User unknown
Jul 23 21:19:04 picus sm-mta[21208]: x6O1J4vh021207: to=<[email protected]>, delay=00:00:00, mailer=local, pri=30680, dsn=5.1.1, stat=User unknown
Jul 23 21:19:04 picus sm-mta[21208]: x6O1J4vh021207: to=linode, ctladdr=root (8/0), delay=00:00:00, mailer=local, pri=30680, dsn=5.1.1, stat=User unknown
Jul 23 21:19:04 picus sm-mta[21208]: x6O1J4vh021207: x6O1J4vh021208: postmaster notify: User unknown
Jul 23 21:19:04 picus sm-mta[21208]: x6O1J4vh021208: to=linode, ctladdr=root (8/0), delay=00:00:00, mailer=local, pri=0, dsn=5.1.1, stat=User unknown
Jul 23 21:19:04 picus sm-mta[21208]: x6O1J4vh021208: to=linode, ctladdr=root (8/0), delay=00:00:00, mailer=local, pri=0, dsn=5.1.1, stat=User unknown
Jul 23 21:19:04 picus sm-mta[21208]: x6O1J4vh021208: x6O1J4vi021208: return to sender: User unknown
Jul 23 21:19:04 picus sm-mta[21208]: x6O1J4vi021208: to=linode, ctladdr=root (8/0), delay=00:00:00, mailer=local, pri=0, dsn=5.1.1, stat=User unknown
Jul 23 21:19:04 picus sm-mta[21208]: x6O1J4vh021208: Saved message in /var/lib/sendmail/dead.letter
Ele continua tentando enviá-lo para a conta root da minha máquina, em vez do meu endereço de e-mail. Estou faltando alguma opção de configuração em algum lugar?
EDIT: depois de alguns ajustes, consegui corrigir um pouco o problema. Eu mudei:
dest = root
para
dest = [email protected]
em /etc/fail2ban/action.d/mail.conf. Com essa mudança, agora estou recebendo e-mails relacionados às minhas prisões ssh/ssh-ddos. No entanto, ainda não estou recebendo e-mails da minha prisão reincidente. Olhando para /etc/fail2ban/jail.local, vejo que ele invoca algo que agrupa/formata vários dados WHOIS para contas banidas naquela prisão específica.
Mais pesquisas nos vários arquivos de configuração me levaram ao /etc/fail2ban/action.d/sendmail-common.confque, como os outros arquivos de configuração que examinei, tem dest = root.
Agora, eu poderia ajustar esses vários arquivos de configuração para usar meu endereço de e-mail como destino, mas tenho a sensação de que isso é mais ou menos o equivalente a martelar um pino redondo em um buraco quadrado. Existe uma maneira melhor de forçar o fail2ban a usar meu e-mail como endereço de destino? Existe um possível problema de configuração com a instalação do sendmail (posso receber e-mails do OSSEC e do meu aplicativo da web sem problemas)?
Responder1
Tenho exatamente o mesmo problema no meu servidor Debian 10. Esse é desagradável, pois realmente não fornece mensagens de erro onde você possa rastreá-lo, pois não há nenhum erro real ...
Lá em cima, Michael Hampton estava dando a dica certa. Obrigado.
SOLUÇÃO:
Defina seus 2 e-mails em todas as regras em que você os usa e, de repente, funcionou.
Igual a:
[sshd]
enabled = true
port = 22
filter = sshd
logpath = /var/log/auth.log
sender = [email protected]
destemail = [email protected]
action = %(action_mwl)s
Acontece que embora eu tivesse isso nas declarações padrão, invisivelmente ele não foi aceito... sem dar um erro... algum erro de formatação aleatório como uma linha vazia ou um comentário ou algo assim....