fail2banのactionを追加する

先日、webminでサービスdown/up通知をLINE Notifyに通知できたため、

これはヤバい！サーバがダウンしたらLINEに通知するサービスをあっという間に作れちゃう | TRAINING GROUNDS (bigfoot.work)

fail2banでipをbanした時にもそれをLINE Notifyに通知できないかなと思っていたのですが、
ばっちりやっておられる方がいました。素晴らしい！

fail2banのban通知をLine Notifyを使ってLINEグループに通知する – Qiita

私はLINEのちょっとキモ目な（笑）スタンプはいらないので、

-F 'stickerPackageId=1' -F 'stickerId=14'

はバッサリカット。

で、actionに追加するときなんですが、

/etc/jail.d配下のオーバーライド用ファイル（例えばjail.local）でactionを指定しなければ、

デフォルトは/etc/fail2ban/jail.confの以下の部分が有効になっているようなので、

# The simplest action to take: ban only
action_ = %(banaction)s[port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"]

# Choose default action. To change, just override value of 'action' with the
# interpolation to the chosen action shortcut (e.g. action_mw, action_mwl, etc) in jail.local
# globally (section [DEFAULT]) or per specific section
action = %(action_)s

jail.localの中の該当セクションを以下の様にしてactionを追加オーバーライド

※actionは複数行の時は改行で追加

[sshd]
enabled  = true
action = %(action_)s
         send-line[name=sshd]

これで通知来たので、取り合えず動いているみたいです。

ただ、sshdにセットするとうちの場合でもこんな感じで通知がバンバン来てしまうようになるので、

Status for the jail: sshd
|- Filter
|  |- Currently failed: 183
|  |- Total failed:     20604
|  `- Journal matches:  _SYSTEMD_UNIT=sshd.service + _COMM=sshd
`- Actions
   |- Currently banned: 209
   |- Total banned:     367

長期BAN用のrecidiveにセットしておくとよいかも。

recidiveなら、sshd以外の理由でBANされたものも含まれますしね。

【PR】 AAL 自転車 空気入れ 電動 電動空気入れ バイク 車 用 コードレス 6000mAh 大容量バッテリー 最大圧力150PSI 仏/英/米式バルブ対応 SOS/LED懐中ライト付き 自動停止 低騒音 エアポンプ モバイルコンプレッサー

(371)

￥3,990 (2024年11月23日 22:51 GMT +09:00 時点 - 詳細はこちら価格および発送可能時期は表示された日付/時刻の時点のものであり、変更される場合があります。本商品の購入においては、購入の時点で当該の Amazon サイトに表示されている価格および発送可能時期の情報が適用されます。)