私は Ubuntu サーバー (14.04 LTS) で Fail2Ban を使用しましたが、ほぼ正常に動作しました。
最近、/etc/fail2ban/filter.d/sshd.conf のデフォルトの正規表現が、失敗した sshd ログイン試行の一部と一致しないことに気付きました。
以下は/var/log/auth.logからの典型的な行です。
9月28日 12:03:01 dv1 sshd[30636]: 14.160.56.206 ポート 51248 ssh2 からの root のパスワードに失敗しました
fail2ban-regex を試して、この行が一致しないことを確認します:
fail2ban正規表現 \ '9月28日 12:03:01 dv1 sshd[30636]: 14.160.56.206 ポート51248 ssh2 からのルートのパスワードに失敗しました' \ '^%(__prefix_line)s.*? の \S+ が失敗しました (?: ポート \d*)?(?: ssh\d*)?(: (ruser .*|(\S+ ID \S+ \(serial \d+\) CA )?\S+ %(__md5hex)s(, クライアント ユーザー ".*", クライアント ホスト ".*")?))?\s*$'
この正規表現が一致しない理由を診断するのを手伝ってくれる人はいますか? 良い修正方法は何でしょうか?
これは「apt-get install fail2ban」の後に変更されていないので、この正規表現にバグがあるのではないかと思います。
ご協力いただければ幸いです。