fail2ban-regex
私のフィルタはJan 14 07:39:41 myhost01 sshd[26433]: Connection closed by authenticating user root 127.0.0.1 port 56216 [preauth]
内部で68回一致しましたが、auth.log
一致するfail2ban-client status sshd-preauth
フィルタとアクションがゼロに表示されていることを確認しました。私は何を見逃していますか?
[sshd-preauth]
enabled = true
logpath = /var/log/auth.log
backend = auto
banaction = disable-user
maxretry = 1
findtime = 1m
filter = sshd-preauth
filter.d/sshd-preauth.conf
[INCLUDES]
before = common.conf
[DEFAULT]
_daemon = sshd
__pref = (?:(?:error|fatal): (?:PAM: )?)?
__suff = (?: \[preauth\])?\s*
__on_port_opt = (?: port \d+)?(?: on \S+(?: port \d+)?)?
__alg_match = (?:(?:\w+ (?!found\b)){0,2}\w+)
[Definition]
prefregex = ^<F-MLFID>%(__prefix_line)s</F-MLFID>%(__pref)s<F-CONTENT>.+</F-CONTENT>$
failregex = ^Connection closed by authenticating user root (?P<ip4>(?:\d{1,3}\.){3}\d{1,3}) port \d+ \[preauth\]$
datepattern = {^LN-BEG}
action.d/disableuser.conf
[Definition]
actionstart = touch /tmp/01234
actionstop =
actioncheck =
actionban = touch /tmp/OSSEC
actionunban = touch /tmp/UNBAN
FAIL2BAN - 正規表現
fail2ban-regex /var/log/auth.log /etc/fail2ban/filter.d/sshd-preauth.conf
Running tests
Use failregex filter file : sshd-preauth, basedir: /etc/fail2ban
Use datepattern : Default Detectors
Use log file : /var/log/auth.log
Use encoding : UTF-8
Results
Failregex: 68 total
|- #) [# of hits] regular expression
| 1) [68] ^Connection closed by authenticating user root (?P<ip4>(?:\d{1,3}\.){3}\d{1,3}) port \d+ \[preauth\]$
`-
Ignoreregex: 0 total
Date template hits:
|- [# of hits] date format
| [865] {^LN-BEG}(?:DAY )?MON Day %k:Minute:Second(?:\.Microseconds)?(?: ExYear)?
`-
Lines: 865 lines, 0 ignored, 68 matched, 797 missed
[processed in 0.06 sec]
Missed line(s): too many to print. Use --print-all-missed to print all 797 lines
修正する
ssh
localhostの代わりにLANからコンピュータに移動すると、Fail2banフィルタがトリガされます。したがって、localhostを確認するように設定したにもかかわらず、fail2ban
localhostログは無視されます。jail.conf
jail.conf
[DEFAULT]
ignorself = false
ignoreip =
これはFail2banの既知の制限事項ですか、それとも回避策はありますか?
アップデート2(ソリューション)
fall2banには2つのエラーがあります。構成変数はignoreselfの代わりにignoreselfでなければなりません。 v0.10.3 未満のバージョンにもバグがあります。最新のfall2banバージョンでは、今うまく動作します。