У мене є правило, яке налаштовано так;
В /etc/sec/rules.d у мене є;
type=SingleWithSuppress
ptype=regexp
pattern=(\S+) sshd\[\d+\]: PAM \d+ more authentication failures\; logname=.* uid=.* euid=.* tty=ssh ruser=.* rhost=(.*) user=(.*)
desc=Login Failure: $0
action=pipe '%s ' /bin/mail -s "login failure $2 to $3@$1" team@team.com
window=300
Отже, якщо це сталося через syslog;
Nov 21 11:24:10 servername.server.com sshd[26846]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost= user=kloggins
Це повинно відповідати цьому (що це робиться за моїм редактором регулярних виразів) згідно зразком;
servername.server.com sshd[26846]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost= user=kloggins
У нас виникли проблеми зі спамом, оскільки мітка часу змінювалася. Тому я переписав шаблон, щоб відповідати всьому після імені хоста.
Однак це, здається, не працює, і кожен раз, коли користувач "проходить автентифікацію не вдається", я все одно отримую електронну пошту.
Я використовував наступне для тестування;
logger -p syslog.err 'sshd[26846]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost= user='
Будь-які ідеї? Я можу просто нерозуміти сек. Я вперше працюю з цим! Будь-яка допомога буде дуже вдячна. Спасибі!