Aula 12: fail2ban — Actions e Notificações por E-mail e Telegram
Na Aula 12 do curso “Firewall, fail2ban e CrowdSec — Do Zero ao Avançado”, você vai se aprofundar em como o fail2ban pode ser configurado para executar actions específicas e enviar notificações por e-mail e Telegram. Este conhecimento é crucial para profissionais que buscam proteção proativa e resposta rápida a eventos de segurança em suas infraestruturas. Vamos explorar de forma prática e detalhada, facilitando a aplicação imediata em ambientes reais.
O que você vai aprender nesta aula
- Configuração de actions no fail2ban
- Integração com servidores de e-mail para notificações automáticas
- Configuração de notificações via Telegram
- Exemplos práticos e dicas de implementação
Entendendo as Actions no fail2ban
No fail2ban, as actions são as respostas que seu sistema dará após a identificação de um comportamento suspeito. Elas vão desde o simples bloqueio de IPs até notificações através de e-mail ou aplicativos de mensagem como o Telegram. Configurar ações eficazes é fundamental para uma resposta proativa e automatizada a incidentes de segurança.
Configurando Actions no fail2ban
Para configurar as actions no fail2ban, começamos editando o arquivo de configuração em /etc/fail2ban/jail.conf ou, preferencialmente, usando arquivos na pasta jail.d para configurações customizadas. Vamos criar uma action personalizada que envia um e-mail quando um IP é banido:
[DEFAULT]
action = %(action_mwl)s
[ssh]
enabled = true
port = ssh
logpath = /var/log/auth.log
action = %(action_mw)sNo exemplo acima, usamos a ação action_mwl no bloco DEFAULT, que inclui o envio de e-mail. Para fins de aprendizado, também configuramos uma action específica para o bloco ssh usando action_mw (banimento + e-mail).
Configurando Notificações por E-mail
Enviar notificações por e-mail é um meio eficaz de ser alertado sobre tentativas de invasão. Em nossos projetos na JRT Technology Solutions, configuramos o fail2ban para trabalhar com servidores de e-mail comumente disponíveis. Edite o arquivo /etc/fail2ban/action.d/mail.conf para configurar seu servidor SMTP:
[Definition]
actionstart =
actionstop =
actioncheck =
actionban = echo "Subject: IP banido: !" | sendmail dest@example.com
actionunban = No exemplo acima, estamos usando um comando simples para enviar o e-mail. Adapte o servidor SMTP conforme necessário para o seu ambiente.
Integração com Telegram
O fail2ban também pode enviar notificações diretamente para o Telegram. Primeiro, você deve criar um bot no Telegram e obter o token de API. Depois, encontre seu chat ID usando a API do Telegram. Com as informações em mãos, vamos adicionar uma nova action:
[Definition]
actionban = /usr/bin/curl -s -X POST https://api.telegram.org/bot/sendMessage -d chat_id= -d text="IP banido: "
actionunban = Este comando usa curl para enviar uma mensagem ao Telegram. Em nossos projetos na JRT Technology Solutions, essa integração provou ser rápida e eficiente para alertas em tempo real.
Resumo da Aula 12
Nesta aula, abordamos como configurar actions eficazes no fail2ban e integrar notificações por e-mail e Telegram. Estes conhecimentos são essenciais para ter um sistema de resposta a incidentes de segurança automatizado. Na próxima aula, vamos explorar como personalizar as regras de filtragem no fail2ban para atender necessidades específicas.
Quer aprender na prática com especialistas?
A JRT Technology Solutions oferece treinamentos e implementação de Firewall, fail2ban e CrowdSec para equipes corporativas.
