Fail2ban – wysyłanie alertów e-mail po zablokowaniu IP

Dzięki alertom e-mail Fail2ban może automatycznie wysyłać wiadomość, gdy wykryje atak i zablokuje IP. Można dołączyć też logi i inne szczegóły incydentu.

📬 Krok 1: Zainstaluj klienta poczty (mail command)

Fail2ban używa systemowego klienta mail do wysyłania wiadomości.

Na Debianie/Ubuntu:

sudo apt install mailutils

Na Red Hat/CentOS/Fedora:

sudo dnf install mailx

💡 Możesz też używać sendmail lub ssmtp, jeśli je preferujesz.

🔧 Krok 2: Ustaw dane kontaktowe w konfiguracji Fail2ban

Otwórz plik główny:

sudo nano /etc/fail2ban/jail.local

Lub utwórz nowy, np. /etc/fail2ban/jail.d/00-email.conf.

Dodaj globalne ustawienia:

[DEFAULT]
destemail = admin@twojadomena.pl
sender = fail2ban@twojserwer.pl
mta = mail
action = %(action_mwl)s

🔹 destemail – adres e-mail, na który będą trafiać alerty
🔹 sender – adres nadawcy (musi być dozwolony przez Twój serwer pocztowy)
🔹 action_mwl – domyślna akcja z logiem (mail + whois + log)

🧠 Co robi action_mwl?

To szablon akcji:

• action_ – tylko zbanowanie IP
• action_mw – mail + whois info
• action_mwl – mail + whois + logi (najlepszy wybór!)

Możesz też użyć niestandardowego szablonu – np. tylko logi, albo tylko e-mail.

📦 Krok 3: Skonfiguruj serwer SMTP (jeśli nie masz)

Fail2ban nie wysyła maili bezpośrednio – robi to przez systemowy MTA. Jeśli nie masz działającej wysyłki maili z serwera, musisz:

• Skonfigurować Postfix, Exim, ssmtp lub msmtp
• Lub użyć relay SMTP (np. Gmail, Mailgun, Sendgrid)

Przykład dla msmtp:

sudo apt install msmtp msmtp-mta

Plik ~/.msmtprc:

defaults
auth           on
tls            on
tls_trust_file /etc/ssl/certs/ca-certificates.crt
logfile        ~/.msmtp.log

account default
host smtp.mailgun.org
port 587
from fail2ban@twojserwer.pl
user postmaster@twojadomena.com
password supertajnehaslo

✅ Krok 4: Przetestuj działanie

Wymuś zbanowanie jakiegoś IP (np. lokalnie):

sudo fail2ban-client set sshd banip 192.168.1.100

Sprawdź skrzynkę pocztową – powinieneś dostać e-mail z informacją o blokadzie, nazwie jail’a, adresie IP, logiem i wynikami whois.

🔄 Krok 5: Restart Fail2ban

sudo systemctl restart fail2ban

🛡️ Wskazówki bezpieczeństwa

• Używaj własnego adresu nadawcy z domeny (np. fail2ban@mojadomena.pl)
• Nie używaj konta Gmail bez specjalnej konfiguracji (może blokować)
• Wysyłka przez SMTP z autoryzacją (np. msmtp) jest bezpieczniejsza niż domyślny mail

🧪 Opcjonalnie: Tworzenie własnych akcji mailowych

Możesz skopiować szablon action_mwl.conf i zmodyfikować go:

sudo cp /etc/fail2ban/action.d/sendmail-mwl.conf /etc/fail2ban/action.d/sendmail-custom.conf

I w jail.local:

action = sendmail-custom[name=sshd, dest=admin@twojadomena.pl]

✅ Podsumowanie

Polecane wpisy

Instalacja oraz konfiguracja serwera SSH na Debian

Instalacja oraz konfiguracja serwera SSH na Debian – Kompletny przewodnik Serwer SSH to jedno z najważniejszych narzędzi umożliwiających bezpieczny zdalny Czytaj dalej

Linux rośnie w siłę?

Jeszcze kilka lat temu mówiąc „Linux”, większość nawet nie wiedziała o czym się mówi. Teraz systemy z rodziny GNU/Linux goszczą Czytaj dalej