SSH 日志中的“正常关机,感谢您玩 [preauth]”是什么意思?

SSH 日志中的“正常关机,感谢您玩 [preauth]”是什么意思?

最近,我的 Ubuntu 12.04 服务器在 Logwatch 中的 SSH 日志摘要开始显示“11:正常关机,感谢您参与 [preauth]”的条目,以及之前显示的“11:再见 [preauth]”和“11:用户断开连接”消息。

在过去几周之前,我没有在日志中看到过此消息,也没有在停留在 Ubuntu 10.04 上的旧服务器上看到过此消息。我在 Google 上搜索过此消息,也没有找到任何明确的解释。

尝试登录并接收此消息的 IP 是随机黑客尝试,并且从预授权判断我假设(希望)它们不会成功,但我想确切地知道此消息的含义以及它与其他消息有何不同,以确保万无一失。

编辑以获取更多信息:我的服务器已禁用密码验证和根验证

答案1

当 ssh 客户端“正常”关闭连接时,它会发送一个包含消息的数据包。当 ssh 守护进程意外收到这样的数据包时(在本例中,是在用户设法进行身份验证之前),它会记录该消息。(旧版本的 OpenSSH 不会这样做。)所以您的推测完全正确:这是暴力破解 ssh 密码猜测攻击的副作用。您可能应该运行类似 fail2ban 或 sshguard 的程序来在 iptables 中阻止这些攻击;即使您认为一切都正确配置为禁止密码,也最好有第二层防御。

答案2

接受的答案是正确的,但我想我会发布这个答案来补充它,并解释为什么管理员以前没有在他们的日志文件中看到这样的消息。

2014 年 1 月,OpenSSH 开发者列表上讨论了这个问题。根据Damien Miller,OpenSSH 开发人员

这个信息基本上一直都在那里:

1.41 (markus 02-Jan-01): log(“收到来自 %s 的断开连接:%d:%.400s”, ...

唯一最近发生的变化是,我们在 5.9 版本中改进了 privsep 模式下预认证消息的记录,不再需要在/dev/logprivsep chroot 内部。如果您的旧 OpenSSH 版本低于 5.9,并且/var/emptychroot 中没有,/dev/log那么您可能错过了这些消息。

答案3

自从最近升级我的服务器上的 open-ssh 包以来,我也在日志文件中注意到了这些消息。

不过,我认为这些消息不一定意味着黑客企图。有些短语被硬编码到合法的 ssh 客户端中,可能是原始开发代码的残留。例如,当我断开与自己服务器的连接时,我的 iOS ssh 客户端 (iSSH) 就会发出此短语。

相关内容