У меня есть msmtp как нулевой клиент, подключающийся к моей учетной записи AWS SES для SMTP, доставляющий оповещения, такие как cron, monit и, надеюсь, Fail2Ban, на мои адреса электронной почты. Однако Fail2Ban не играет в мяч, или, если быть точнее, selinux препятствует происходящему.
action_mwl отлично работает в режиме Permissive. Я получаю письма о запрете. В режиме Enforcing Fail2Ban регистрирует ошибку, и письмо не отправляется. Согласно журналу msmtp, делается попытка отправить его, но она не отправляется.
Вот такая (часть) запись в журнале Fail2Ban:
2015-09-29 12:25:12,543 fail2ban.actions [31113]: ERROR Failed to execute ban jail 'wordpress' action 'sendmail-whois-lines' info 'CallingMap({'ipjailmatches': <function <lambda> at 0x2c5ac08>, 'matches': u'
отчеты msmtp:
Sep 29 12:25:12 host=email-smtp.eu-west-1.amazonaws.com tls=on auth=on user=12345 [email protected] [email protected] errormsg='cannot connect to email-smtp.eu-west-1.amazonaws.com, port 587: Permission denied' exitcode=EX_TEMPFAIL
Это не проблема конфигурации msmtp и не проблема содержимого тела письма, так как я могу отправить это самое сообщение Fail2Ban из командной строки, перенаправляя его в msmtp (напрямую или через символическую ссылку sendmail), и оно прекрасно отправляется. Учетные данные и т. д., следовательно, в порядке. Также работает через cron. Это означает, что это также не проблема брандмауэра.
$ sudo ls -lZ /usr/bin/msmtp
-rwxr-xr-x. root root system_u:object_r:bin_t:s0 /usr/bin/msmtp
$ sudo ls -lZ /usr/bin/sendmail
lrwxrwxrwx. root root unconfined_u:object_r:bin_t:s0 /usr/bin/sendmail -> /usr/bin/msmtp
В jail.conf:
mta = sendmail
sealert не дает мне никаких подсказок, которые я мог бы распознать или предпринять.
Я подтвердил, что fail2ban запускается от имени root:
$ ps aux | grep fail2ban
Я добавил дополнительную регистрацию и теперь получаю это в /var/log/messages
Sep 29 16:11:15 ip-172-31-6-51 setroubleshoot: SELinux is preventing /usr/bin/msmtp from name_connect access on the tcp_socket port 587. For complete SELinux messages. run sealert -l 78f05dbd-a953-4196-9f14-afaabb5a4d88
Sep 29 16:11:15 ip-172-31-6-51 python: SELinux is preventing /usr/bin/msmtp from name_connect access on the tcp_socket port 587.
Куда смотреть дальше? Как узнать, разрешено ли SELinux Fail2Ban работать с msmtp?
решение1
После добавления более подробного журнала я получил достаточно подсказок от системы (и @Michael Hampton), чтобы разобраться в этом.
yum install setroubleshoot setools
Это дает гораздо больше информации в /var/log/messages и предлагает такие инструменты, как:
sealert -a /var/log/audit/audit.log
Также:
ausearch -m avc
Они дадут вам такие инструкции:
Sep 29 16:11:15 ip-172-31-6-51 setroubleshoot: SELinux is preventing /usr/bin/msmtp from name_connect access on the tcp_socket port 587. For complete SELinux messages. run sealert -l 78f05dbd-a953-4196-9f14-afaabb5a4d88
Выполнение предложенной команды:
sealert -l 78f05dbd-a953-4196-9f14-afaabb5a4d88
Дает мне:
If you believe that msmtp should be allowed name_connect access on the port 587 tcp_socket by default.
Then you should report this as a bug.
You can generate a local policy module to allow this access.
Do
allow this access for now by executing:
# grep msmtp /var/log/audit/audit.log | audit2allow -M mypol
# semodule -i mypol.pp
Так я и сделал:
$ grep msmtp /var/log/audit/audit.log | audit2allow -M fail2ban_msmtp
Я взглянул, чтобы увидеть, что получилось:
$ vim fail2ban_msmtp.te
А затем установил политику, сделав ее постоянной после перезагрузки:
$ semodule -i fail2ban_msmtp.pp
Затем я забанил случайный IP-адрес, чтобы вызвать бан с подтверждением по электронной почте, и теперь он наконец отправляет мне желаемое письмо через msmtp:
$ fail2ban-client set sshd banip 162.229.158.134
Вуаля! Так просто, этот SELinux.
P.S. Кажется, есть еще один способ (не проверено):
$ setsebool -P nis_enabled 1