fail2ban - expresie regex suplimentară pentru filtrul sshd

În prezent, încerc să prind încercările eșuate de conectare SSH cu autentificare bazată pe certificat (certificat corect, dar parolă greșită) folosind fail2ban versiunea 0.11.2-2 (care rulează pe Debian 11).

Prin urmare, am creat un fișier nou /etc/fail2ban/filter.d/sshd.local cu continutul

[Definiție]
failregex = %(cunoscut/failregex)s
            ^%(__prefix_line)sConexiune închisă prin autentificarea utilizatorului <F-USER>.+</F-USER> <HOST> portul \d+ \[preauth\]$

astfel încât regula de filtrare să nu fie suprascrisă în actualizările viitoare.

Pentru a testa acest lucru, am provocat eu însumi situația de câteva ori și pot confirma cu sudo fail2ban-regex /var/log/auth.log /etc/fail2ban/filter.d/sshd.local că filtrul găsește intrările de jurnal:

23. [88] ^(?:[])?\s*(?:<[^.]+.[^.]+>\s+)?(?:\S+\s+)?(?:kernel:\s ?[ *\d+.\d+]:?\s+)?(?:@vserver_\S+\s+)?(?:(?:(?:[\d+])?:\s+[[(]?sshd(? :(\S+))?[])]?:?|[[(]?sshd(?:(\S+))?[])]?:?(?:[\d+])?:?)\ s+)?(?:[ID \d+ \S+]\s+)?Conexiune închisă de utilizatorul care se autentifică .+ port \d+ [preauth]$

Dar nu se întâmplă nimic în starea filtrului:

Starea închisorii: sshd
|- Filtru
| |- Momentan eșuat: 0
| |- Total eșuat: 0
| - Lista de fișiere: /var/log/auth.log
 - Acțiuni
   |- Interzis în prezent: 0
   |- Total interzise: 0
    - Lista IP interzise:

Aveți vreo idee despre ce nu funcționează aici sau unde ar trebui să caut?

poate confirma cu fail2ban-regex ... /etc/fail2ban/filter.d/sshd.local că filtrul găsește intrările de jurnal

Filtrul implicit (în modul normal) îl va ignora cu alte RE deja disponibile, care este un ajutor pentru a lua în considerare IP-ul sesiunii (pentru alte mesaje care au loc în aceeași sesiune, dar fără IP) și se oprește prin primul RE potrivire cu mesajul. Întrucât fail2ban-regex arată orice RE care se potrivește, de asemenea, duplicate.

Deci ai vedea și tu 20) [88] ... în ieșire. Precum și Linii: N linii, 88 ignorate, X potrivite, Y ratată.

Pentru a realiza acest lucru corect (fără modificări locale):

1. fie set filtru = %(cunoscut/filtru)s[publickey=any] în sshd închisoare (deoarece versiunea dvs. trebuie să o accepte deja, vezi https://github.com/fail2ban/fail2ban/discussions/3176#discussioncomment-1768538 pentru mai multe informatii).
2. sau pur și simplu setați mod = agresiv în sshd temniță.

Pentru a gestiona acest lucru corect (cu modificările locale):

3. fie rescrie mdre-normal-altul, de exemplu în jail.local:

[sshd]
filtru = %(cunoscut/filtru)s[mdre-normal-other=""]
failregex = %(cunoscut/failregex)s
            ^Conexiune închisă de...

4. sau scrieți-vă RE personalizat înainte de RE-urile originale... Rețineți că cele mai noi versiuni fail2ban le-ar reordona (https://github.com/fail2ban/fail2ban/pull/3007):

failregex = ^Conexiune închisă de...
            %(cunoscut/failregex)s

Și nu folosi %(__prefix_line)s în failregex, pentru că este deja tratat prefregex, așa că trebuie să scrieți ca aici:

- ^%(__prefix_line)sConexiune...
+ ^Conexiune...