Вопросы Теги

Что означает «Нормальное выключение, спасибо за игру [preauth]» в журналах SSH?

Недавно в сводках журнала My SSH для моих серверов Ubuntu 12.04 в Logwatch начали отображаться записи для «11: Нормальное выключение, спасибо за игру [preauth]» вместе с «11: Bye Bye [preauth]» и «11: отключено. сообщениями пользователей, которые они показывали ранее.

Я не видел этого сообщения в своих журналах до последних нескольких недель, и я не видел его на своих старых серверах, которые зависли на Ubuntu 10.04. Я погуглил это сообщение и не могу найти там четких объяснений.

IP-адреса, пытающиеся войти в систему и получить это сообщение, являются случайными попытками взлома, и, судя по предварительной аутентификации, я предполагаю (надеюсь), что они не увенчались успехом, но я хотел бы точно знать, что означает это сообщение и чем оно отличается от других быть уверенным.

РЕДАКТИРОВАТЬ для получения дополнительной информации: На моих серверах отключена аутентификация по паролю и аутентификация root

37
задан 4 December 2013 в 18:09
3 ответа

Когда клиент ssh выполняет «нормальное» завершение соединения, он отправляет пакет с сообщением в нем. Когда демон ssh получает такой пакет, когда он не ожидает его - в данном случае до того, как пользователю удалось пройти аутентификацию - он регистрирует сообщение. (В более старых версиях OpenSSH этого не было.) Итак, ваше предположение совершенно верно: это побочный эффект атаки по подбору пароля по ssh. Вам, вероятно, следует запустить что-то вроде fail2ban или sshguard, чтобы заблокировать их в iptables; даже если вы думаете, что все настроено правильно, чтобы запретить пароли, хорошо иметь второй уровень защиты.

36
ответ дан 28 November 2019 в 19:48

Я тоже заметил эти сообщения в своих файлах журнала после недавнего обновления пакета open-ssh на моих серверах.

Однако я не думаю, что сообщения обязательно подразумевают попытки взлома. Некоторые из фраз жестко запрограммированы в законных клиентах ssh, предположительно как остатки исходного кода разработки. Например, мой ssh-клиент iOS (iSSH) издает эту фразу, когда я отключаюсь от своих серверов.

2
ответ дан 28 November 2019 в 19:48

可接受的答案是正确的,但我认为我会发布此答案以补充其原因,并进行了更改,以解释管理员为什么以前未在其日志文件中看到此类消息。

] 2014年1月,在OpenSSH开发人员名单上讨论了此问题。据 Damien Miller,OpenSSH开发人员

,该消息基本上一直存在:

1.41(markus 02-Jan-01 ):log(“接收到与%s的断开连接:%d:%.400s”,...

最近唯一更改的是,我们将5.9版本中的privsep模式下的预身份验证消息的日志记录改进为 如果您的旧OpenSSH版本是<5.9,并且 / var / empty chroot没有 / dev,则不再需要privsep chroot中的 / dev / log 。 / log 中,则可能丢失了这些消息。

10
ответ дан 28 November 2019 в 19:48

Теги

Похожие вопросы