我正在尝试让 Fail2Ban 阻止失败的sudo -i命令,但 IP 没有显示在日志中。例如,当我使用以下命令登录服务器时:
ssh -i ~/.ssh/id_rsa [email protected]
然后我使用:
sudo -i
以进入 root 目录。当我检查日志时,我发现了以下内容/var/log/secure:
May 26 06:42:35 HOSTNAME sudo: pam_unix(sudo-i:auth): authentication failure; logname=USER uid=1320 euid=0 tty=/dev/pts/1 ruser=USER rhost= user=USER
如您所见,旁边没有 IP:
rhost=
我很确定如果该 IP 在那里,它应该会触发此 Fail2Ban 规则/etc/fail2ban/filter.d/sshd.conf:
^%(__prefix_line)sauthentication failure; logname=\S* uid=\S* euid=\S* tty=\S* ruser=\S* rhost=<HOST>(?:\s+user=.*)?\s*$
任何对此的见解都将不胜感激。