OK, eu encontrei. Eu reiniciei o serviço rsyslog (serviço rsyslog restart) e a hora em auth.log está correta novamente.
Instalei o fail2ban em uma caixa do Ubuntu (14.04), mas ele não funcionou corretamente. Ao tentar inspecionar o motivo, descobri que o fuso horário que está sendo usado pelo arquivo /var/log/auth.log é diferente do fuso horário do sistema. Veja o que fiz para alterar o fuso horário:
# rm /etc/localtime
# ln -s /usr/share/zoneinfo/Asia/Ho_Chi_Minh /etc/localtime
saída do comando date:
# date
Sun May 4 10:38:28 ICT 2014
Então eu acionei um login inválido do SSH, foi o que consegui:
# tailf /var/log/auth.log
May 3 23:17:01 host-1 CRON[24432]: pam_unix(cron:session): session closed for user root
May 3 23:39:24 host-1 sshd[24439]: error: Could not load host key: /etc/ssh/ssh_host_ed25519_key
May 3 23:39:27 host-1 sshd[24439]: Invalid user roots from 123.22.x.x
May 3 23:39:27 host-1 sshd[24439]: input_userauth_request: invalid user roots [preauth]
Como você pode ver, o datetime do sistema é 4 de maio 10:38, mas a saída de auth.log diz que ele está usando o horário de 3 de maio 23:39 como o horário. Alguma explicação e solução para isso?
OK, eu encontrei. Eu reiniciei o serviço rsyslog (serviço rsyslog restart) e a hora em auth.log está correta novamente.