moin, hat leider nicht geklappt. Irgendwo ware(en) Syntaxfehler. Die maskierten Klammern waren auch falsch So langsam werd ich mit den regex warm Folgender Eintrag in der filter.d/sshd.conf funktioniert nachweislich ^%(__prefix_line)spam_unix\(sshd:auth\): authentication failure; .* rhost=<HOST> .*\s*$ stellt sich jetzt die Frage nach sinnvollen find- und ban-zeiten. Die Default-Werte dazu sind wohl zu schwach. Mit 10min ban kamen die gleichen Nummern gleich wieder. Ich habe mal alles seeeehr großzügig nach oben erweitert. Gruß joachim Am 15.02.2015 um 15:15 schrieb Yamaban:
SOllte der folgende Ausdruck für die obigen Zeilen korrekt und passend für die sshd.conf sein?
^% (__prefix_line)s+\(pam_unix\)\s+authentication failure.* rhost=<HOST>/s*$
Kleine Änderung am Ende: ...rhost=<HOST> .*$ Also nach <HOST> ein "Leerzeichen" gefolgt von ".*$" damit auch das abschliesende "... user=root" aus dem sshd-Log erfasst wird, und der Eintrag von fail2ban erkannt wird.
Ob das mit dem pam_unix so passt, kann ich nicht sagen, wenn nicht, versuch's mal damit: "\(pam_unix\)" raus und "pam_unix\(sshd:auth\):" rein.
-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org