Also nach meinem letzten apt-get update & & apt-get upgrade & & apt-get dist-upgrade meine Fail2Ban ohne Probleme 0.9.5 aktualisiert wurde und ich Überprüfen Sie die Konfigurationen doppelt, aber es scheint, als ob es nicht mehr funktioniert.fail2ban Regex funktioniert nicht [Debian 8 - Jessie]
Hier sind einige Protokolle von Fehl-Logins in meinem /var/log/auth.log
Aug 30 03:39:02 ns3031426 sshd[25824]: Invalid user admin from xx.xxx.xxx.xxx port 45282
Normalerweise wird ein solcher Versuch sollte von fail2ban erkannt werden. Ich habe die Fail2Ban-Logs doppelt überprüft und festgestellt, dass in diesem Zeitraum nichts registriert wurde. Nach der Suche im Internet erfuhr ich über den fail2ban-regex /var/log/auth.log /etc/fail2ban/filter.d/sshd.conf Befehl. Mein Problem ist, dass die Regex fehlgeschlagene Versuche nicht mehr erkennt. Ich bekomme immer das Ergebnis zurück:
Running tests
=============
Use failregex filter file : sshd, basedir: /etc/fail2ban
Use maxlines : 10
Use log file : /var/log/auth.log
Use encoding : ANSI_X3.4-1968
Results
=======
Failregex: 0 total
Ignoreregex: 0 total
Date template hits:
|- [# of hits] date format
| [9739] (?:DAY)?MON Day 24hour:Minute:Second(?:\.Microseconds)?(?: Year)?
`-
Lines: 9739 lines, 0 ignored, 0 matched, 9739 missed
[processed in 3.16 sec]
Missed line(s): too many to print. Use --print-all-missed to print all 9739 lines
Was ist das Problem hier? Ich erkannte, dass sich mein Logging ebenfalls änderte. Bevor ich das System aktualisierte, hatten die Logs keine Informationen über den Port und nach dem Update loggte es den Port mit. Beispiel gegeben:
Old logging: Aug 27 16:40:09 ns3031426 sshd[13245]: Invalid user oracle from xx.xxx.xxx.xxx
New logging: Aug 30 03:39:02 ns3031426 sshd[25824]: Invalid user admin from xx.xxx.xxx.xxx port 45282
Danke für Ihre Hilfe.