Я пытаюсь заблокировать Fail2Ban, не удалось sudo -i
команды, но IP не отображается в журналах. Например, когда я вхожу на сервер с:
ssh -i ~/.ssh/id_rsa USER@1.2.3.4
Затем я использую:
sudo -i
получить root. Когда я проверяю журнал, я нахожу это в /var/log/secure
:
May 26 06:42:35 HOSTNAME sudo: pam_unix(sudo-i:auth): authentication failure; logname=USER uid=1320 euid=0 tty=/dev/pts/1 ruser=USER rhost= user=USER
Как видите, IP рядом с:
rhost=
Я почти уверен, что если бы IP был там, он должен срабатывать это правило Fail2Ban в /etc/fail2ban/filter.d/sshd.conf
:
^%(__prefix_line)sauthentication failure; logname=\S* uid=\S* euid=\S* tty=\S* ruser=\S* rhost=<HOST>(?:\s+user=.*)?\s*$
Мы будем очень признательны за любые идеи по этому поводу.