Назад | Перейти на главную страницу

Регулярное выражение Fail2Ban в sshd.conf не обнаруживает неудачные попытки входа в систему root в /var/log/auth.log

Я использовал Fail2Ban на своем сервере Ubuntu (14.04 LTS), и в основном он работает хорошо.

Недавно я заметил, что регулярное выражение по умолчанию в /etc/fail2ban/filter.d/sshd.conf не соответствует некоторым неудачным попыткам входа в систему sshd.

Вот типичная строка из /var/log/auth.log

Sep 28 12:03:01 dv1 sshd[30636]: Failed password for root from 14.160.56.206 port 51248 ssh2

Когда я пробую fail2ban-regex, чтобы подтвердить, что эта строка не совпадает:

fail2ban-regex \
'Sep 28 12:03:01 dv1 sshd[30636]: Failed password for root from 14.160.56.206 port 51248 ssh2' \
'^%(__prefix_line)sFailed \S+ for .*? from (?: port \d*)?(?: ssh\d*)?(: (ruser .*|(\S+ ID \S+ \(serial \d+\) CA )?\S+ %(__md5hex)s(, client user ".*", client host ".*")?))?\s*$'

Может ли кто-нибудь помочь диагностировать, почему это регулярное выражение не соответствует? Что было бы хорошим исправлением?

Поскольку после "apt-get install fail2ban" это не было изменено, мне интересно, есть ли в этом регулярном выражении ошибка.

Любая помощь приветствуется.