그렇게 설정된 규칙이 있습니다.
/etc/sec/rules.d에서 나는 가지고 있습니다;
type=SingleWithSuppress
ptype=regexp
pattern=(\S+) sshd\[\d+\]: PAM \d+ more authentication failures\; logname=.* uid=.* euid=.* tty=ssh ruser=.* rhost=(.*) user=(.*)
desc=Login Failure: $0
action=pipe '%s ' /bin/mail -s "login failure $2 to $3@$1" team@team.com
window=300
만약 이것이 syslog를 통해 온다면;
Nov 21 11:24:10 servername.server.com sshd[26846]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost= user=kloggins
패턴에 따라 (내 정규 표현식 편집기에 따라) 일치해야합니다.
servername.server.com sshd[26846]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost= user=kloggins
타임 스탬프가 변경되어 스팸에 문제가있었습니다. 그래서 호스트 이름 다음의 모든 항목과 일치하도록 패턴을 다시 작성했습니다.
그러나 이것은 작동하지 않는 것 같고 사용자가 "인증 실패"할 때마다 여전히 전자 메일을받습니다.
테스트를 위해 다음을 사용했습니다.
logger -p syslog.err 'sshd[26846]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost= user='
어떤 아이디어? 나는 단지 오해일지도 모른다. 내가 처음으로 작업하고 있습니다! 도움을 주시면 감사하겠습니다. 감사!