Я использовал Fail2Ban на своем сервере Ubuntu (14.04 LTS), и в целом он работает хорошо.
Недавно я заметил, что регулярное выражение по умолчанию в /etc/fail2ban/filter.d/sshd.conf не соответствует некоторым неудачным попыткам входа в систему через sshd.
Вот типичная строка из /var/log/auth.log
28 сен 12:03:01 dv1 sshd[30636]: Неверный пароль для root из 14.160.56.206 порт 51248 ssh2
Когда я пробую fail2ban-regex, чтобы подтвердить, что эта строка не совпадает:
fail2ban-регулярное выражение \ '28 сен 12:03:01 dv1 sshd[30636]: Неверный пароль для root из 14.160.56.206 порт 51248 ssh2' \ '^%(__prefix_line)sНе удалось \S+ для .*? из (?: порт \d*)?(?: ssh\d*)?(: (ruser .*|(\S+ ID \S+ \(serial \d+\) CA )?\S+ %(__md5hex)s(, пользователь клиента ".*", хост клиента ".*")?))?\s*$'
Может ли кто-нибудь помочь диагностировать, почему это регулярное выражение не совпало? Что было бы хорошим решением?
Поскольку после «apt-get install fail2ban» изменений не было, мне интересно, есть ли в этом регулярном выражении ошибка.
Любая помощь приветствуется.