Как исправить ошибку в регулярных выражениях fail2ban-regex?

Question

[Maks186]

Приветствую, коллеги.
Пытаюсь настроить fail2ban на защиту от некоторых событий.
В общем, при проверке срабатывания регулярного выражения в консоли все работает:

fail2ban-regex /var/log/mail.log "warning: (.*)\[<HOST>\]: SASL LOGIN (.*)authentication failed:"

Но если поместить регулярное выражение в файл конфигурации /etc/fail2ban/filter.d/sasl.conf то выражение перестает работать.
Содержимое файла sasl.con

[INCLUDES]
before = common.conf

[Definition]
_daemon = postfix/smtpd
failregex = warning: (.*)\[\]: SASL LOGIN (.*)authentication failed:
ignoreregex =

Я с этим сталкиваюсь впервые, прошу не кидать помидорами.

Answer 1

[5465]

В файле конфигурации sasl.conf у вас неправильно указано регулярное выражение failregex. Вместо вы должны указать группу захвата, чтобы fail2ban мог правильно определить IP-адрес. Попробуйте заменить строку

warning: (.*)\[\]: SASL LOGIN (.*)authentication failed:

на

warning: (.*)\[<HOST>\]: SASL LOGIN (.*)authentication failed:

Также убедитесь, что путь к файлу конфигурации указан правильно в fail2ban.conf. По умолчанию путь выглядит как /etc/fail2ban/jail.conf, но может отличаться в зависимости от вашей системы.