Fail2ban Как настроить regex выражение?

Question

[Mikklosh]

fail2ban-server -V
Fail2Ban v0.9.7

Появилась необходимость ограничить доступ к 873 порту на сервере, набросал конфиг:

fail2ban/jail.d/rsyncd.conf

[rsyncd]
enabled = true
port = 873
filter = rsyncd
logpath = /var/log/rsyncd.log
maxretry = 3
findtime = 600
bantime = 3600

fail2ban/filter.d/rsyncd.conf

[Definition]
failregex = \auth failed on module .* from .* \(\/) for .*: password mismatch
ignoreregex =

В самих логах сообщение выглядит следующим образом:

2019/10/02 09:19:29 [104094] connect from UNDETERMINED (10.20.15.18)
2019/10/02 09:19:29 [104094] auth failed on module testuser from UNDETERMINED (10.20.15.18) for testuser: password mismatch

Насколько я понимаю, проблема в самом выражении:

failregex = \auth failed on module .* from .* \(\/) for .*: password mismatch

Подскажите, где ошибка, пожалуйста.

Answer 1

[AUser0]

failregex = auth failed on module [^ ]+ from [^ ]+ \(([0-9.]+)\) for [^ ]+: password mismatch

Comments

[Mikklosh]

Помогло, спасибо большое!