preauth需要暴露在互联网上的 Linux(特别是 Debian Jessie)服务器在日志中输出各种 OpenSSH 6.7错误。例如,我收到(为清晰起见省略了时间戳):
- 错误:收到来自 ABCD 的断开连接:3:com.jcraft.jsch.JSchException:身份验证失败 [预身份验证]
- 致命:无法协商密钥交换方法 [预认证]
- 致命:未找到匹配的密码:客户端...服务器... [预认证]
- 收到来自 ABCD 的断开连接:11:正常关机,感谢您玩 [preauth]
- 收到来自 ABCD 的断开连接:11:ok [预认证]
等等。
我并不太担心探测器本身;系统保持最新,OpenSSH 配置根据当前最佳实践得到了很好的强化,并且还有额外的保护措施(例如 fail2ban)。
是否有任何理由认为任何preauthOpenSSH 日志条目都需要特别人工关注?
问题的答案SSH 日志中的“正常关机,感谢您玩 [preauth]”是什么意思?表明具体的该问题中的情况可以忽略;我的问题比较笼统。
答案1
看起来你已经服用了一些强化OpenSSH的具体步骤。
作为这些变化的副作用,结合运行相对较新的 OpenSSH 版本,您将收到有关连接失败的更多详细日志条目。
您看到的所有预认证消息都属于此类别,表示客户端由于某种原因无法建立连接。大多数情况下,这些连接在客户端能够尝试输入用户名和密码之前就失败了。
处理这些日志条目的最佳方法是将它们提供给日志聚合器,并制作精美的图表供安全研究人员查看。它们不需要任何人工干预。
当然,您应该继续干预那些表明密码尝试失败的消息。您现有的工具(如 fail2ban)在这里会为您提供很好的服务,尽管您会发现您的禁令列表比以前小得多,因为大多数 ssh 暴力破解机器人尚未使用现代加密(这是大多数这些消息的根本原因)。
您可能需要干预的另一个地方是已授权由于使用旧版本的 ssh 客户端(例如 PuTTY 或 FileZilla 的旧版本),用户无法再连接。将客户端更新到最新版本可修复这些问题。