J'ai une règle qui est établie comme ça;
Dans /etc/sec/rules.d j'ai;
type=SingleWithSuppress
ptype=regexp
pattern=(\S+) sshd\[\d+\]: PAM \d+ more authentication failures\; logname=.* uid=.* euid=.* tty=ssh ruser=.* rhost=(.*) user=(.*)
desc=Login Failure: $0
action=pipe '%s ' /bin/mail -s "login failure $2 to $3@$1" team@team.com
window=300
Donc, si cela venait de syslog;
Nov 21 11:24:10 servername.server.com sshd[26846]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost= user=kloggins
Il devrait correspondre à cela (ce qui est le cas selon mon éditeur d'expressions régulières) en fonction du modèle;
servername.server.com sshd[26846]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost= user=kloggins
Nous avions un problème avec le spam car l'horodatage changeait. J'ai donc réécrit le modèle pour qu'il corresponde à tout après le nom d'hôte.
Cependant, cela ne semble pas fonctionner et chaque fois qu'un utilisateur "échoue à l'authentification", je reçois toujours un e-mail.
J'ai utilisé ce qui suit pour tester;
logger -p syslog.err 'sshd[26846]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost= user='
Des idées? Je pourrais juste être mal compris sec. C'est la première fois que j'y travaille! Toute aide serait grandement appréciée. Merci!