Ubuntu 서버(14.04 LTS)에서 Fail2Ban을 사용했는데 대부분 잘 작동합니다.
최근에 /etc/fail2ban/filter.d/sshd.conf의 기본 정규식이 실패한 일부 SSHD 로그인 시도와 일치하지 않는 것을 발견했습니다.
다음은 /var/log/auth.log의 일반적인 줄입니다.
9월 28일 12:03:01 dv1 sshd[30636]: 14.160.56.206 포트 51248 ssh2의 루트 비밀번호 실패
Fail2ban-regex를 시도할 때 다음 줄이 일치하지 않는지 확인합니다.
Fail2ban-정규식 \ '9월 28일 12:03:01 dv1 sshd[30636]: 14.160.56.206 포트 51248 ssh2에서 루트에 대한 비밀번호 실패' \ '^%(__prefix_line)s.*에 대한 \S+가 실패했습니까? (?: 포트 \d*)?(?: ssh\d*)?(: (ruser .*|(\S+ ID \S+ \(직렬 \d+\) CA )?\S+ %(__md5hex)s( , 클라이언트 사용자 ".*", 클라이언트 호스트 ".*")?))?\s*$'
이 정규식이 일치하지 않는 이유를 진단하는 데 도움을 줄 수 있는 사람이 있나요? 무엇이 좋은 해결책이 될까요?
이는 "apt-get install failure2ban" 이후 변경되지 않았으므로 이 정규식에 버그가 있는지 궁금합니다.
도움을 주시면 감사하겠습니다.