sec가 타임 스탬프를 올바르게 무시하도록하는 방법

그렇게 설정된 규칙이 있습니다.

/etc/sec/rules.d에서 나는 가지고 있습니다;

type=SingleWithSuppress
ptype=regexp
pattern=(\S+) sshd\[\d+\]: PAM \d+ more authentication failures\; logname=.* uid=.* euid=.* tty=ssh ruser=.* rhost=(.*) user=(.*)
desc=Login Failure: $0
action=pipe '%s ' /bin/mail -s "login failure $2 to $3@$1" team@team.com
window=300

만약 이것이 syslog를 통해 온다면;

Nov 21 11:24:10 servername.server.com sshd[26846]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost= user=kloggins

패턴에 따라 (내 정규 표현식 편집기에 따라) 일치해야합니다.

servername.server.com sshd[26846]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost= user=kloggins

타임 스탬프가 변경되어 스팸에 문제가있었습니다. 그래서 호스트 이름 다음의 모든 항목과 일치하도록 패턴을 다시 작성했습니다.

그러나 이것은 작동하지 않는 것 같고 사용자가 "인증 실패"할 때마다 여전히 전자 메일을받습니다.

테스트를 위해 다음을 사용했습니다.

logger -p syslog.err 'sshd[26846]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost= user='

어떤 아이디어? 나는 단지 오해일지도 모른다. 내가 처음으로 작업하고 있습니다! 도움을 주시면 감사하겠습니다. 감사!

글쎄, 거의 하루에 머리카락을 잡아 당긴 후 나는 마침내 a) 머리를 만드는 방법과 b) 내가 sec에 대한 오해를 이해한다.

초 매뉴얼 페이지를 읽고 본질적으로 일치를 보여주는 것으로 desc =를 설명합니다. 그래서 제 생각에는 패턴과 일치하는 것을 보여 주어야한다는 의미였습니다. 글쎄요, 사실입니다.이 경우 그 패턴의 일치는 호스트 이름, rhost 및 사용자.

그래서 내가 desc = Login Failure : $ 0을 할 때 전체 줄을 키핑합니다. 그 나쁜.

대신 타임 스탬프 (전체 라인)가 변경되지 않았기 때문에 사용자 이름과 호스트 이름을 키 오프하도록 변경했습니다. 일명, 다음 설명;

/etc/sec/rules.d/ssh.sec

type=SingleWithSuppress
ptype=regexp
pattern=(\S+) sshd\[\d+\]: PAM \d+ more authentication failures\; logname=.* uid=.* euid=.* tty=ssh ruser=.* rhost=(.*) user=(.*)
desc=Login Failure: $3@$1
action=pipe '%s $0' /bin/mail -s "Login Failure: $3@$1" email@email.com
window=300

에러 라인

Nov 21 01:58:10 test.test.com sshd[26846]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=test.test.com user=kloggins

사용자 kloggins@test.test.com을 알 수 있으며 kloggins@test.test.com을 차단했기 때문에 300 초 후에 다시 발생하지 않으면 사용자에게보고하지 않습니다.

나는 지금 여러 번 그것을 테스트했습니다 .'werkin입니다.