by ブログ工房　Popular Posts(last24hours)
JP1/AJS PrintOptionを使ってJP1ジョブの運用情報をドキュメントとして出力する 6件のビュー JP1/AJS ジョブ実行結果ログの場所 5件のビュー JP1/AJS 次回の実行予定をコマンドで確認する 5件のビュー RockyLinux8.7にRedmine4.2.9をインストールする 4件のビュー JP1/AJS スケジュールされているジョブの実行を中止する 4件のビュー JP1/AJS 基準時刻の確認方法と注意点 2件のビュー JP1/AJS クラスター構成のJP1でajsshow実行時に「構成定義に誤った指定があります（AJSDBDIRECTORY）」と出るとき 2件のビュー JP1/AJS ユーザマッピングの確認方法 2件のビュー【要改善】ExcelのVBAボタンからWinSCPを起動してLinuxサーバから今日日付がファイル名に付いた指定のログをダウンロードする 2件のビュー

by ブログ工房　Random Posts(ALL)
改行のないファイルに改行を付与して別名で保存する2024年6月4日 fail2banのメール通知で　action = %(action_m)s　って無くないですか？（Rocky Linux release 9.5 epelインストール)2025年2月15日 JP1/AJS ジョブを保留する2023年7月18日【後で読む】Win11でAirPods Proのマイクを認識してくれないときのメモ（個人用）2024年9月10日 .workドメインは取得費用と更新費用のバランスがいい2022年5月26日【後で読む】CakePHP2.xで取得したXMLを配列化する方法。その他2024年2月1日【後で読む】退職者のADアカウントの扱いについて2023年12月7日 Wi-Fi WALKERをWiMAXオンリーモードにしたら速度が改善した・・・気がする2014年8月31日 Microsoftアカウント＆PIN認証に切り替えたWindowsにリモートデスクトップ接続できない2023年3月27日

by ブログ工房　Random Posts(Read_Later)
【後で読む】Win11でAirPods Proのマイクを認識してくれないときのメモ（個人用）2024年9月10日【後で読む】ブランチとは2024年10月23日【後で読む】HiRDBファイルシステム領域を自動的に拡張する方式2023年12月9日【後で読む】新規で購入したNortonの製品の契約期間を現契約と統合する2024年12月26日【後で読む】nftablesによるファイアウォール設定2024年7月16日【後で読む】異なるバージョンのPHPをCentOS8系にインストールする2023年11月18日【後で調べる】復号処理でエラーが発生しました。対処方法を教えてください。2024年2月6日【後で読む】systemd-coredump2024年3月6日【後で読む】ntpd2024年2月1日

fail2banのactionを追加する

先日、webminでサービスdown/up通知をLINE Notifyに通知できたため、

これはヤバい！サーバがダウンしたらLINEに通知するサービスをあっという間に作れちゃう | TRAINING GROUNDS (bigfoot.work)

fail2banでipをbanした時にもそれをLINE Notifyに通知できないかなと思っていたのですが、
ばっちりやっておられる方がいました。素晴らしい！

fail2banのban通知をLine Notifyを使ってLINEグループに通知する – Qiita

私はLINEのちょっとキモ目な（笑）スタンプはいらないので、

-F 'stickerPackageId=1' -F 'stickerId=14'

はバッサリカット。

で、actionに追加するときなんですが、

/etc/jail.d配下のオーバーライド用ファイル（例えばjail.local）でactionを指定しなければ、

デフォルトは/etc/fail2ban/jail.confの以下の部分が有効になっているようなので、

# The simplest action to take: ban only
action_ = %(banaction)s[port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"]

# Choose default action. To change, just override value of 'action' with the
# interpolation to the chosen action shortcut (e.g. action_mw, action_mwl, etc) in jail.local
# globally (section [DEFAULT]) or per specific section
action = %(action_)s

jail.localの中の該当セクションを以下の様にしてactionを追加オーバーライド

※actionは複数行の時は改行で追加

[sshd]
enabled  = true
action = %(action_)s
         send-line[name=sshd]

これで通知来たので、取り合えず動いているみたいです。

ただ、sshdにセットするとうちの場合でもこんな感じで通知がバンバン来てしまうようになるので、

Status for the jail: sshd
|- Filter
|  |- Currently failed: 183
|  |- Total failed:     20604
|  `- Journal matches:  _SYSTEMD_UNIT=sshd.service + _COMM=sshd
`- Actions
   |- Currently banned: 209
   |- Total banned:     367

長期BAN用のrecidiveにセットしておくとよいかも。

recidiveなら、sshd以外の理由でBANされたものも含まれますしね。