Ich habe eine Regel, die so aufgebaut ist;
In /etc/sec/rules.d habe ich;
type=SingleWithSuppress
ptype=regexp
pattern=(\S+) sshd\[\d+\]: PAM \d+ more authentication failures\; logname=.* uid=.* euid=.* tty=ssh ruser=.* rhost=(.*) user=(.*)
desc=Login Failure: $0
action=pipe '%s ' /bin/mail -s "login failure $2 to $3@$1" [email protected]
window=300
Also, wenn dies durch Syslog kam;
Nov 21 11:24:10 servername.server.com sshd[26846]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost= user=kloggins
Es sollte dem Muster entsprechen (was laut meinem Regex-Editor der Fall ist).
servername.server.com sshd[26846]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost= user=kloggins
Wir hatten ein Problem mit Spam, weil sich der Zeitstempel geändert hat. Also habe ich das Muster so umgeschrieben, dass es mit allem nach dem Hostnamen übereinstimmt.
Dies scheint jedoch nicht zu funktionieren und jedes Mal, wenn eine Benutzerauthentifizierung fehlschlägt, erhalte ich eine E-Mail.
Ich habe Folgendes zum Testen verwendet.
logger -p syslog.err 'sshd[26846]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost= user='
Irgendwelche Ideen? Ich könnte nur ein Missverständnis sein, sek. Dies ist das erste Mal, dass ich damit arbeite! Jede Hilfe wäre sehr dankbar. Vielen Dank!