fail2ban / ssh dans Lenny: Ne fonctionne pas
Bonjour à tous,
J'ai installé fail2ban, et configuré celui-ci pour qu'il vérifie les
logs de SSH, afin de banir l'ip au bout de 3 erreurs de connexions:
[ssh]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 3
Mon 'banaction' est défini à 'shorewall', (qui existe bien dans
action.d), et qui est bien lancé/configuré.
Lorsque je fais:
fail2ban-regex /var/log.auth.log /etc/fail2ban/filter.d/sshd.conf
J'obtiens aucun résultat:
Sorry, no match
Je n'ai pas touché au filter.d/sshd.conf, qui contient ceci:
failregex = ^%(__prefix_line)s(?:error: PAM: )?Authentication failure
for .* from <HOST>\s*$
^%(__prefix_line)s(?:error: PAM: )?User not known to the
underlying authentication module for .* from <HOST>\s*$
^%(__prefix_line)sFailed (?:password|publickey) for .* from
<HOST>(?: port \d*)?(?: ssh\d*)?$
^%(__prefix_line)sROOT LOGIN REFUSED.* FROM <HOST>\s*$
^%(__prefix_line)s[iI](?:llegal|nvalid) user .* from
<HOST>\s*$
^%(__prefix_line)sUser .+ from <HOST> not allowed because
not listed in AllowUsers$
^%(__prefix_line)sUser .+ from <HOST> not allowed because
none of user's groups are listed in AllowGroups\s*$
^%(__prefix_line)sauthentication failure; logname=\S* uid=
\S* euid=\S* tty=\S* ruser=\S* rhost=<HOST>(?:\s+user=.*)?\s*$
^%(__prefix_line)srefused connect from \S+ \(<HOST>\)\s*$
^%(__prefix_line)sAddress <HOST> .* POSSIBLE BREAK-IN
ATTEMPT\s*$
Et mon fichier de log contient cette ligne, qui devrait correspondre au
3ème regex, hors ce n'est pas le cas!
Oct 25 10:09:30 universe sshd[13959]: Failed password for merwin from
90.10.109.43 port 35564 ssh2
Je répète je n'ai pas touché à la regex! Merci d'avance ;-)
Reply to: