Ich habe Fail2Ban auf meinem Ubuntu-Server (14.04 LTS) verwendet und es funktioniert größtenteils gut.
Mir ist kürzlich aufgefallen, dass der Standard-Regex in /etc/fail2ban/filter.d/sshd.conf mit einigen fehlgeschlagenen SSHD-Anmeldeversuchen nicht übereinstimmt.
Hier ist eine typische Zeile aus /var/log/auth.log
28. September 12:03:01 dv1 sshd[30636]: Fehlgeschlagenes Passwort für Root von 14.160.56.206 Port 51248 ssh2
Wenn ich fail2ban-regex versuche, wird bestätigt, dass diese Zeile nicht übereinstimmt:
fail2ban-regulärer Ausdruck \ 'Sep 28 12:03:01 dv1 sshd[30636]: Fehlgeschlagenes Passwort für Root von 14.160.56.206 Port 51248 ssh2' \ '^%(__prefix_line)sFehlgeschlagen \S+ für .*? von (?: Port \d*)?(?: ssh\d*)?(: (ruser .*|(\S+ ID \S+ \(serial \d+\) CA )?\S+ %(__md5hex)s(, Client-Benutzer ".*", Client-Host ".*")?))?\s*$'
Kann jemand helfen, herauszufinden, warum dieser reguläre Ausdruck nicht übereinstimmt? Was wäre eine gute Lösung?
Da es nach „apt-get install fail2ban“ keine Änderungen gab, frage ich mich, ob dieser reguläre Ausdruck einen Fehler aufweist.
Jede Hilfe ist willkommen.