Tengo una regla que está configurada así;
En /etc/sec/rules.d tengo;
type=SingleWithSuppress
ptype=regexp
pattern=(\S+) sshd\[\d+\]: PAM \d+ more authentication failures\; logname=.* uid=.* euid=.* tty=ssh ruser=.* rhost=(.*) user=(.*)
desc=Login Failure: $0
action=pipe '%s ' /bin/mail -s "login failure $2 to $3@$1" [email protected]
window=300
Entonces, si esto llegó a través de syslog;
Nov 21 11:24:10 servername.server.com sshd[26846]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost= user=kloggins
Debería coincidir con esto (que lo hace de acuerdo con mi editor de expresiones regulares) de acuerdo con el patrón;
servername.server.com sshd[26846]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost= user=kloggins
Estábamos teniendo un problema con el spam porque la marca de tiempo estaba cambiando. Así que reescribí el patrón para que coincida con todo después del nombre de host.
Sin embargo, esto no parece funcionar y cada vez que un usuario "falla en la autenticación", sigo recibiendo un correo electrónico.
He estado usando lo siguiente para probar;
logger -p syslog.err 'sshd[26846]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost= user='
¿Algunas ideas? Podría estar malentendido seg. ¡Es la primera vez que trabajo con él! Cualquier ayuda sería muy apreciada. ¡Gracias!