Fail2ban 正則表達式幫助禁止 sshd 連接嘗試

這是一個棘手的問題（對我來說）

我正在嘗試將 fail2ban 設置為禁止所有未登錄的 ssh 伺服器的連接嘗試。

現在，我的問題是……一切都在文件 filter.d/sshd.conf 中。

對我來說，這是難以理解的，亂七八糟的，我根本無法理解該配置文件中的正則表達式（我根本無法理解正則表達式，相信我，我已經嘗試過）。

我想掃描並禁止這行日誌：（因為它顯示了一個只連接的連接）

連接被 192.168.0.2 埠 12210 關閉$$ preauth $$

現在，正如我之前寫的那樣，我不知道如何或在何處將其寫入/放入配置文件（不想用標准文件堵塞論壇）這個

所以如果有人能幫助我我應該寫什麼，我應該把它放在配置文件的什麼地方。

並且，如果可能的話，解釋（或至少嘗試）你在做什麼？

對於最新版本的fail2ban，設置就足夠了：

[sshd]
mode = aggressive
enabled = true

在你的/etc/fail2ban/jail.local.

對於某些舊版本，這取決於。無論如何，我將從更新過濾器配置開始（例如，從這裡開始F-MLFGAINED） ，只要確保F-NOFAIL您的版本早於 0.10.5（在https://github.com/fail2ban/fail2ban/commit/1c1d2cc435d6e8f1eb4a1b60c935a1385a82e295中介紹）。

如果你的 fail2ban 早於 0.10（所以 0.9），最好升級它。

回到“如何擴展股票正則表達式”的實際問題……這個設置是可能的：

[sshd]
failregex = %(known/failregex)s
           ^Connection closed by <ADDR> port \d+ \[preauth\]

（對於沒有 的 fail2ban <= 0.9 prefregex，您必須使用前綴行等指定整個 RE 並使用<HOST>而不是<ADDR>）。

引用自：https://unix.stackexchange.com/questions/662946