Usei o Fail2Ban no meu servidor Ubuntu (14.04 LTS) e na maioria das vezes funciona bem.
Recentemente notei que o regex padrão em /etc/fail2ban/filter.d/sshd.conf não corresponde a algumas tentativas fracassadas de login do sshd.
Aqui está uma linha típica de /var/log/auth.log
28 de setembro 12:03:01 dv1 sshd [30636]: Falha na senha para root da porta 14.160.56.206 51248 ssh2
Quando tento fail2ban-regex, para confirmar que esta linha não corresponde:
fail2ban-regex \ '28 de setembro 12:03:01 dv1 sshd[30636]: Falha na senha para root da porta 14.160.56.206 51248 ssh2' \ '^%(__prefix_line)sFalha \S+ para .*? de (?: porta \d*)?(?: ssh\d*)?(: (ruser .*|(\S+ ID \S+ \(serial \d+\) CA )?\S+ %(__md5hex)s( , usuário cliente ".*", host cliente ".*")?))?\s*$'
Alguém pode ajudar a diagnosticar por que esse regex não corresponde? Qual seria uma boa solução?
Como isso não sofreu alterações após "apt-get install fail2ban", gostaria de saber se esse regex tem um bug.
Qualquer ajuda será apreciada.