Fail2Ban中sshd过滤器匹配失败问题的分析与解决

问题背景

在使用Fail2Ban保护SSH服务时，管理员可能会遇到一个常见问题：系统明明记录了SSH密码认证失败的日志，但Fail2Ban却无法正确识别并阻止这些恶意尝试。这种情况通常发生在使用非标准日志格式的环境中，特别是当系统日志中包含了额外的优先级信息时。

问题根源分析

通过分析日志样例可以发现关键差异：

Apr 28 13:11:39 localhost auth.info sshd[27366]: Failed password for REDACTED_USER from REDACTED_IP port 38066 ssh2

与标准SSH日志格式相比，这条日志在主机名(localhost)和进程名(sshd)之间多出了auth.info这个优先级标识。这个额外的字段导致Fail2Ban内置的sshd过滤器无法正确匹配日志行。

技术原理

Fail2Ban的日志匹配机制基于正则表达式，其sshd过滤器的默认配置预期日志格式为：

<时间戳> <主机名> <进程名>[PID]: <日志内容>

而当系统配置为记录优先级信息时，实际格式变为：

<时间戳> <主机名> <优先级> <进程名>[PID]: <日志内容>

这种格式差异导致正则表达式匹配失败，进而使Fail2Ban无法检测到恶意登录尝试。

解决方案

方案一：修改日志格式（推荐）

最彻底的解决方案是调整系统日志配置，移除多余的优先级信息。这可以通过修改syslog或rsyslog配置实现，具体方法取决于使用的日志系统。

方案二：调整Fail2Ban配置

如果无法修改日志格式，可以通过以下两种方式调整Fail2Ban配置：

方法A：仅修改sshd jail配置

在jail.local文件中为sshd jail添加自定义过滤器：

[sshd]
filter = %(known/filter)s[__hostname="\S+(?: [a-z]+\.[a-z]+)?"]

方法B：全局修改（影响所有jail）

在filter.d/common.local中添加全局配置：

[DEFAULT]
__hostname = \S+(?: [a-z]+\.[a-z]+)?

这两种方法都通过扩展主机名匹配模式来容纳可能的优先级信息，其中：

• \S+匹配主机名
• (?: [a-z]+\.[a-z]+)?可选地匹配一个空格后跟类似"auth.info"的优先级字符串

实施建议

1. 优先考虑方案一（修改日志格式），这能保持配置的简洁性和一致性
2. 如果必须使用方案二，建议使用方法A，因为它只影响sshd jail，减少对其他服务的影响
3. 修改后应重启Fail2Ban服务并测试规则是否生效
4. 建议在修改前备份原始配置文件

总结

Fail2Ban作为强大的安全工具，其有效性依赖于准确的日志匹配。当遇到日志格式与预设模式不匹配时，管理员需要理解其工作原理并进行适当调整。本文提供的解决方案既考虑了系统日志格式的标准化，也提供了灵活的Fail2Ban配置调整方法，能够帮助管理员有效保护SSH服务免受恶意登录尝试。