我正在尝试为 Postfix 添加一个 failregex 来捕获未发送正确身份验证命令的系统。
如果我收到如下一行:
disconnect from unknown[ADDRESS] ehlo=1 auth=0/1 commands=1/2
我正在专门寻找那auth=0/1部分,并希望 fail2ban 能够捕获此问题。我正在使用默认的后缀过滤器并尝试对其进行修改,并尝试向其中添加以下内容:
mdpr-failauth = disconnect
mdre-failauth = ^from .*[^[]\[<HOST>\] .*(auth=0/[0-9]+)+.*$
这似乎可以捕获每条断开的线,无论其中是否有auth=0/[0-9]+、auth=1或根本没有线。我在这里到底做错了什么?auth