Установил fail2ban, настроил на брутфорс по ssh, захожу по ssh под учеткой root - блокировка ip не срабатывает. Прописал в /etc/fail2ban/filter.d/sshd.conf в failregex следующее выражение:
^.* Failed password for root * from <HOST> port .*$
Проверил это выражение с помощью fail2ban-regex: fail2ban-regex /var/log/secure '^.* Failed password for root * from <HOST> port .*$'
В ответ fail2ban-regex пишет:
<code>
Addreses found:
(1)
192.168.1.3 (Thu Jan 13 10:49:03 2011)
192.168.1.3 (Thu Jan 13 10:55:12 2011)
192.168.1.3 (Thu Jan 13 10:59:26 2011)

То есть выражение составлено правильно, но почему тогда не блокируется ip, когда заходишь с помощью root?
Если же заходишь под неправильным логином и паролем, то fail2ban нормально срабатывает и ip блокируется