Я использовал Fail2Ban на своем сервере Ubuntu (14.04 LTS), и в основном он работает хорошо.
Недавно я заметил, что регулярное выражение по умолчанию в /etc/fail2ban/filter.d/sshd.conf не соответствует некоторым неудачным попыткам входа в систему sshd.
Вот типичная строка из /var/log/auth.log
Sep 28 12:03:01 dv1 sshd[30636]: Failed password for root from 14.160.56.206 port 51248 ssh2
Когда я пробую fail2ban-regex, чтобы подтвердить, что эта строка не совпадает:
fail2ban-regex \ 'Sep 28 12:03:01 dv1 sshd[30636]: Failed password for root from 14.160.56.206 port 51248 ssh2' \ '^%(__prefix_line)sFailed \S+ for .*? from (?: port \d*)?(?: ssh\d*)?(: (ruser .*|(\S+ ID \S+ \(serial \d+\) CA )?\S+ %(__md5hex)s(, client user ".*", client host ".*")?))?\s*$'
Может ли кто-нибудь помочь диагностировать, почему это регулярное выражение не соответствует? Что было бы хорошим исправлением?
Поскольку после "apt-get install fail2ban" это не было изменено, мне интересно, есть ли в этом регулярном выражении ошибка.
Любая помощь приветствуется.