玄箱で OpenSSH のアップグレード (その後)

玄箱 Vine 2.6 の OpenSSH をアップグレードしたところ、その昔に仕掛けた辞書攻撃(Brute force attack)対策のスクリプトが機能していない事を発見。
原因は、OpenSSH の吐くログの表現がちょっとだけ変わったこと。

以前のバージョン (Vine 2.6 updates の openssh-server-3.6.1p2-0vl0.3.ppc.rpm)

Aug 28 05:16:08 kurobox sshd[27763]: Illegal user optic from xxx.xxx.xxx.xxx
Aug 28 05:16:10 kurobox sshd[27765]: Illegal user service from xxx.xxx.xxx.xxx
Aug 28 05:16:11 kurobox sshd[27767]: Illegal user admin from xxx.xxx.xxx.xxx
Aug 28 05:16:12 kurobox sshd[27769]: Illegal user danielle from xxx.xxx.xxx.xxx
Aug 28 05:16:14 kurobox sshd[27771]: Illegal user nexus from xxx.xxx.xxx.xxx
(IPアドレスは伏せ字)

新しいバージョン (ソースからビルドした openssh-server-4.6p1-1.ppc.rpm)

May 21 21:03:48 kurobox sshd[30153]: Invalid user admin from xxx.xxx.xxx.xxx
May 21 21:03:49 kurobox sshd[30155]: Invalid user admin from xxx.xxx.xxx.xxx
May 21 21:03:50 kurobox sshd[30157]: Invalid user admin from xxx.xxx.xxx.xxx
May 21 21:03:55 kurobox sshd[30159]: Invalid user ftpuser from xxx.xxx.xxx.xxx
May 21 21:03:56 kurobox sshd[30161]: Invalid user ftpuser from xxx.xxx.xxx.xxx
(IPアドレスは伏せ字)

どうも "Illegal" が "Invalid" に変更されたようだ。
スクリプトの該当部分を以下のように修正して対応。

if ( /Invalid user ¥w+ from $IPADDR/ or 
			/Did not receive identification string from $IPADDR/ ) 

動作もOK。

May 24 00:39:27 kurobox sshd[18328]: Did not receive identification string from xxx.xxx.xxx.xxx
May 24 00:46:26 kurobox sshd[18333]: Invalid user staff from xxx.xxx.xxx.xxx
May 24 00:46:30 kurobox sshd[18337]: Invalid user sales from xxx.xxx.xxx.xxx
May 24 00:46:33 kurobox sshd[18341]: Invalid user recruit from xxx.xxx.xxx.xxx
May 24 00:46:35 kurobox ssh-block[18347]: Blocked xxx.xxx.xxx.xxx for 5min 
(IPアドレスは伏せ字)