Ho una regola che è impostata in questo modo;
In /etc/sec/rules.d ho;
type=SingleWithSuppress
ptype=regexp
pattern=(\S+) sshd\[\d+\]: PAM \d+ more authentication failures\; logname=.* uid=.* euid=.* tty=ssh ruser=.* rhost=(.*) user=(.*)
desc=Login Failure: $0
action=pipe '%s ' /bin/mail -s "login failure $2 to $3@$1" team@team.com
window=300
Quindi se questo è arrivato attraverso syslog;
Nov 21 11:24:10 servername.server.com sshd[26846]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost= user=kloggins
Dovrebbe corrispondere a questo (cosa che fa secondo il mio editor regex) secondo lo schema;
servername.server.com sshd[26846]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost= user=kloggins
Abbiamo riscontrato un problema con lo spam perché il timestamp stava cambiando. Quindi ho riscritto il modello in modo che corrisponda a tutto dopo il nome host.
Tuttavia, questo non sembra funzionare e ogni volta che un utente "autenticazione fallisce", ricevo ancora una e-mail.
Ho usato il seguente per testare;
logger -p syslog.err 'sshd[26846]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost= user='
Qualche idea? Potrei solo essere frainteso sec. Questa è la prima volta che ci lavoro! Qualsiasi aiuto sarebbe molto apprezzato. Grazie!