On Sun, 15 Feb 2015 15:01, Joachim H.
Moin,
nach meinem sshd Problemchen habe ich mal fail2ban installiert und beschäftige mich mit der Konfiguration.
Die mit Abstand am häufigsten Einträge im Log sind
sshd[26052]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=222.161.4.148 user=root sshd[26053]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=222.161.4.148 user=root sshd[26056]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=222.161.4.148 user=root
Diese Einträge werden von der bei fail2ban mitgelieferten conf offensichtlich nicht erfasst.
Wenn ich in die filter reinschaue, dann merke ich, dass das mit den regex nicht so mein Fall ist.
SOllte der folgende Ausdruck für die obigen Zeilen korrekt und passend für die sshd.conf sein?
^% (__prefix_line)s+\(pam_unix\)\s+authentication failure.* rhost=<HOST>/s*$
Kleine Änderung am Ende: ...rhost=<HOST> .*$ Also nach <HOST> ein "Leerzeichen" gefolgt von ".*$" damit auch das abschliesende "... user=root" aus dem sshd-Log erfasst wird, und der Eintrag von fail2ban erkannt wird. Ob das mit dem pam_unix so passt, kann ich nicht sagen, wenn nicht, versuch's mal damit: "\(pam_unix\)" raus und "pam_unix\(sshd:auth\):" rein. Sonst, Hut ab! - Yamaban.