Bem, depois de quase um dia puxando o cabelo, eu finalmente entendi a) como fazer isso eb) um equívoco que tenho sobre sec.
Na leitura da página de manual e descreve desc = essencialmente mostrando a correspondência. Então, em minha mente, isso significava que deveria mostrar o que estava combinado no padrão. Bem, sim, isso é verdade, neste caso a correspondência nesse padrão é a; hostname, rhost e usuário.
Então, quando eu estou fazendo desc = Falha no Login: $ 0, estou fechando toda a linha. Isso é ruim.
Então, em vez disso, eu o alterei para desativar o nome de usuário e o nome do host, o que faz com que ele adira à regra window = 300, pois o timestamp (toda a linha) não estava mudando; aka, o seguinte resumo;
/etc/sec/rules.d/ssh.sec
type=SingleWithSuppress
ptype=regexp
pattern=(\S+) sshd\[\d+\]: PAM \d+ more authentication failures\; logname=.* uid=.* euid=.* tty=ssh ruser=.* rhost=(.*) user=(.*)
desc=Login Failure: $3@$1
action=pipe '%s $0' /bin/mail -s "Login Failure: $3@$1" [email protected]
window=300
Linha de erros
Nov 21 01:58:10 test.test.com sshd[26846]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=test.test.com user=kloggins
Ele irá notar o usuário [email protected] e não irá reportar sobre ele, a menos que aconteça novamente após 300 segundos, porque ele foi desativado [email protected].
Eu testei várias vezes agora, é um 'werkin'.