我的服务器上运行着 fail2ban,并且有三个程序正在运行:sshd、sshd-ddos 和 runcloud-agent。没有错误消息,但是当我最近重新启动服务器时,我收到一封电子邮件,说 sshd 和 runcloud-agent 正在运行,但我没有收到 sshd-ddos 正在运行的消息。
这是我的 jail.local 配置文件:
[DEFAULT]
ignoreip = 127.0.0.1/8
bantime = 3153600000
maxretry = 1
destemail = ******
sender = ******
mta = sendmail
[sshd]
enabled = true
logpath = %(sshd_log)s
port = ***** (not 22)
banaction = iptables-multiport
mode = aggressive
action = %(action_mwl)s
failregex = %(known/failregex)s
^Bad protocol version identification '.*' from <HOST>
[sshd-ddos]
enabled = true
logpath = %(sshd_log)s
banaction = iptables-multiport
filter = sshd
[runcloud-agent]
enabled = true
logpath = *****
port = *****
banaction = iptables
maxretry = 1
action = %(action_mwl)s
答案1
action = %(action_mwl)s答案很简单 -部分中没有[sshd-ddos],因此 fail2ban 仅使用默认action部分banaction。
将其添加到 jail 部分或默认部分。
顺便说一句,邮件操作,尤其是像 这样的mail-whois-lines,很糟糕 - 它们可能会延迟禁止(最长超时 60 秒),因为 whois 检索、DNS 解析、日志 grep(因此会清除系统缓存)等可能会造成延迟。
我真的不明白为什么人们会使用它们,或者为什么有人每天需要数千封关于某些禁令的邮件。