Fail2ban이 내 사용자 정의 필터를 트리거하지 않는 이유는 무엇입니까?

tag-icon tag-icon linux regular-expression logs fail2ban
Fail2ban이 내 사용자 정의 필터를 트리거하지 않는 이유는 무엇입니까?

fail2ban-regex내 필터가 Jan 14 07:39:41 myhost01 sshd[26433]: Connection closed by authenticating user root 127.0.0.1 port 56216 [preauth]내부적으로 68번 일치했지만 auth.log일치 fail2ban-client status sshd-preauth하는 필터 및 작업이 0개 표시되는지 확인했습니다. 내가 무엇을 놓치고 있을까요?

Jail.d/custom.local 
[sshd-preauth]

enabled = true
logpath = /var/log/auth.log
backend = auto
banaction = disable-user
maxretry = 1
findtime = 1m
filter  = sshd-preauth
filter.d/sshd-preauth.conf 
[INCLUDES]
before = common.conf

[DEFAULT]

_daemon = sshd
__pref = (?:(?:error|fatal): (?:PAM: )?)?
__suff = (?: \[preauth\])?\s*
__on_port_opt = (?: port \d+)?(?: on \S+(?: port \d+)?)?
__alg_match = (?:(?:\w+ (?!found\b)){0,2}\w+)

[Definition]
prefregex = ^<F-MLFID>%(__prefix_line)s</F-MLFID>%(__pref)s<F-CONTENT>.+</F-CONTENT>$
failregex = ^Connection closed by authenticating user root (?P<ip4>(?:\d{1,3}\.){3}\d{1,3}) port \d+ \[preauth\]$
datepattern = {^LN-BEG}
action.d/disableuser.conf 
[Definition]
actionstart = touch /tmp/01234
actionstop =
actioncheck = 
actionban = touch /tmp/OSSEC
actionunban = touch /tmp/UNBAN
FAIL2BAN - 정규식 
fail2ban-regex /var/log/auth.log /etc/fail2ban/filter.d/sshd-preauth.conf  

Running tests

Use   failregex filter file : sshd-preauth, basedir: /etc/fail2ban
Use      datepattern : Default Detectors
Use         log file : /var/log/auth.log
Use         encoding : UTF-8


Results

Failregex: 68 total
|-  #) [# of hits] regular expression
|   1) [68] ^Connection closed by authenticating user root (?P<ip4>(?:\d{1,3}\.){3}\d{1,3}) port \d+ \[preauth\]$
`-

Ignoreregex: 0 total

Date template hits:
|- [# of hits] date format
|  [865] {^LN-BEG}(?:DAY )?MON Day %k:Minute:Second(?:\.Microseconds)?(?: ExYear)?
`-

Lines: 865 lines, 0 ignored, 68 matched, 797 missed
[processed in 0.06 sec]

Missed line(s): too many to print.  Use --print-all-missed to print all 797 lines

고쳐 쓰다

sshlocalhost 대신 LAN에서 컴퓨터로 이동하면 Fail2ban 필터가 트리거됩니다. 따라서 localhost를 확인하도록 구성했음에도 fail2ban불구하고 분명히 localhost 로그는 무시됩니다 .jail.conf

jail.conf

[DEFAULT] 
ignorself = false
ignoreip =

이것이 Fail2ban의 알려진 제한 사항입니까, 아니면 해결 방법이 있습니까?

업데이트 2(솔루션)

fall2ban에는 두 가지 오류가 있습니다. 구성 변수는ignoreself 대신ignoreself여야 합니다. v0.10.3 미만 버전에도 버그가 있습니다. 최신 fall2ban 버전에서는 이제 잘 작동합니다.

관련 정보