Eu usei o Fail2Ban no meu servidor Ubuntu (14.04 LTS) e ele funciona muito bem.
Recentemente, notei que o regex padrão em /etc/fail2ban/filter.d/sshd.conf não corresponde a algumas tentativas de login do sshd com falha.
Aqui está uma linha típica de /var/log/auth.log
Sep 28 12:03:01 dv1 sshd[30636]: Failed password for root from 14.160.56.206 port 51248 ssh2
Quando eu tento o fail2ban-regex, para confirmar que essa linha não é correspondida:
fail2ban-regex \ 'Sep 28 12:03:01 dv1 sshd[30636]: Failed password for root from 14.160.56.206 port 51248 ssh2' \ '^%(__prefix_line)sFailed \S+ for .*? from (?: port \d*)?(?: ssh\d*)?(: (ruser .*|(\S+ ID \S+ \(serial \d+\) CA )?\S+ %(__md5hex)s(, client user ".*", client host ".*")?))?\s*$'
Alguém pode ajudar a diagnosticar por que esse regex não está correspondendo? Qual seria uma boa solução?
Como isso não foi alterado após "apt-get install fail2ban", gostaria de saber se esse regex tem um bug.
Qualquer ajuda apreciada.
Tags ssh regex fail2ban ubuntu-14.04 conf