• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

Wie kann man Fail2Ban eMails am geschicktesten aus einer DMZ schicken?

framp

Moderator
Teammitglied
Mir stellt sich die Frage wie ich am besten Eventemails von Fail2ban aus einer DMZ herausbringe. Klar geht es am einfachsten wenn ich die entsprechenden Ports oeffne. Aber dann hat jemand der es schafft dem System welches in der DMZ steht root Rechte zu erlangen die Credentials fuer das eMail Konto und kann lustig Spam eMails darueber verschicken :mad:

Ich koennte auch regelmaessig per scp von ausserhalb der DMZ die Fail2ban Logs einmal pro Tag holen. Die muss ich dann wieder auf Neuigkeiten parsen usw ... ist aller umstaendlich. Schoen weare es schon wenn es einen eleganten Weg gibt die Fail2ban eMails zu erhalten.

Hat jemand eine Idee wie ich mein Problem elegant loesen koennte?
 
Mails an lokalen User schicken lassen und dessen Ordner syncen oder regelmäßig per ssh kontrollieren? Ich hoffe ich hab dein Problem richtig verstanden und denke nicht schon wieder zu simpel...
 
OP
framp

framp

Moderator
Teammitglied
Ich glaube mir ist heute Nacht eine gute Loesung initiert durch Deine Idee eingefallen: Ich schicke die eMail lokal (dadurch sind auch keine Crednetials meines eMailKontos auf dem System) und hole sie mir mit fetchmail :)
 
Das meinte ich doch mit "Mails an lokalen User schicken" ;-) Aber fetchmail ist natürlich eine elegantere Lösung als rsync oder ssh.
 
OP
framp

framp

Moderator
Teammitglied
Das meinte ich doch mit "Mails an lokalen User schicken" ;-
Genau das war ja schon der gute Hinweis (y) Nur gefiel mir noch nicht das home Verzeichnis bzw mailbox per rsync oder scp zu holen. Und dann fiel mir heute Nacht ein dass man ja fetchmail dafuer nutzen kann :giggle:
 
Schick doch die Logs via systemd oder Syslog an einen Loghost.
Du kannst auch logcheck o.ä. auf die Fail2Ban Logs ansetzen und dir die Logs per Mail schicken lassen.

Wenn du SSH mit PublicKey Login und deaktivierter Passwortanmeldung betreibst, dann brauchst du auch kein Fail2Ban.
 
OP
framp

framp

Moderator
Teammitglied
Wenn du SSH mit PublicKey Login und deaktivierter Passwortanmeldung betreibst, dann brauchst du auch kein Fail2Ban.
Habe ich natuerlich konfiguriert. Alles andere macht keinen Sinn in einer DMZ. Fail2Ban habe ich aktiv um ein Gefuehl zu bekommen wie haeufig Leute bei mir per https nach Unterverzeichnissen scannen von denen bekannt ist dass sie eventuell vulnerable sein koennen.
Schick doch die Logs via systemd oder Syslog an einen Loghost.
Du kannst auch logcheck o.ä. auf die Fail2Ban Logs ansetzen und dir die Logs per Mail schicken lassen.
Gute Idee. Ich denke das ist leichter fuer mich zu konfigurieren als der eMailansatz. Allerdings muss dann ein weiterer Outboundport geoeffnet werden im Gegensatz zu dem eMail Ansatz wo nur ein Inboundport geoeffnet werden muss.
 
Fail2Ban habe ich aktiv um ein Gefuehl zu bekommen wie haeufig Leute bei mir per https nach Unterverzeichnissen scannen von denen bekannt ist dass sie eventuell vulnerable sein koennen.
Da ist modsecurity die deutlich bessere Wahl, weil du die vollständige OWASP Top 10 drin hast und noch mehr.

Gute Idee. Ich denke das ist leichter fuer mich zu konfigurieren als der eMailansatz. Allerdings muss dann ein weiterer Outboundport geoeffnet werden im Gegensatz zu dem eMail Ansatz wo nur ein Inboundport geoeffnet werden muss.
Lieber einen ausgehenden Port offen als einen eingehenden.
 
Oben