Utilicé Fail2Ban en mi servidor Ubuntu (14.04 LTS) y en general funciona bien.
Recientemente noté que la expresión regular predeterminada en /etc/fail2ban/filter.d/sshd.conf no coincide con algunos intentos fallidos de inicio de sesión sshd.
Aquí hay una línea típica de /var/log/auth.log
28 de septiembre 12:03:01 dv1 sshd[30636]: contraseña fallida para root desde 14.160.56.206 puerto 51248 ssh2
Cuando intento fail2ban-regex, confirmo que esta línea no coincide:
expresión regular fail2ban \ '28 de septiembre 12:03:01 dv1 sshd[30636]: contraseña fallida para root desde 14.160.56.206 puerto 51248 ssh2' \ '^%(__prefix_line)s¿Error \S+ para .*? from (?: puerto \d*)?(?: ssh\d*)?(: (ruser .*|(\S+ ID \S+ \(serial \d+\) CA )?\S+ %(__md5hex)s( , usuario del cliente ".*", host del cliente ".*")?))?\s*$'
¿Alguien puede ayudar a diagnosticar por qué esta expresión regular no coincide? ¿Cuál sería una buena solución?
Dado que esto no ha habido cambios después de "apt-get install fail2ban", me pregunto si esta expresión regular tiene un error.
Cualquier ayuda se agradece.