“Centralized” fail2ban apenas proibindo ataques ao host local

2

Estou tentando executar o fail2ban no servidor rsyslog que coleta logs de autenticação do restante de nossos servidores. Estou interessado em fazer as notificações funcionarem como um primeiro passo.

Meu problema é que o fail2ban é acionado apenas em linhas auth.log que vêm da máquina local (o servidor de logs denominado 'sth-admin-log01'), mas não em servidores remotos. Por exemplo, três ocorrências dessa linha são suficientes para acionar ações fail2ban:

Mar 27 10:21:28 sth-admin-log01 sshd[18516]: Failed password for root from 192.168.1.3 port 34234 ssh2

Esta linha não aciona nada, não importa quantas vezes ela apareça:

Mar 27 11:20:19 test-vm sshd[9772]: Failed password for root from 192.168.1.3 port 34631 ssh2

Eu tentei verificar o filtro (padrão) sshd.conf usando o fail2ban-regex e ele combina as duas linhas de log bem.

Estou usando o fail2ban 0.8.11-1 no Ubuntu 64bit 14.0.4.1.

Alguma idéia?

    
por dtsomp 27.03.2015 / 11:28

0 respostas