![SSH ログの「通常のシャットダウン、[preauth] をプレイしていただきありがとうございます」とはどういう意味ですか?](https://rvso.com/image/622178/SSH%20%E3%83%AD%E3%82%B0%E3%81%AE%E3%80%8C%E9%80%9A%E5%B8%B8%E3%81%AE%E3%82%B7%E3%83%A3%E3%83%83%E3%83%88%E3%83%80%E3%82%A6%E3%83%B3%E3%80%81%5Bpreauth%5D%20%E3%82%92%E3%83%97%E3%83%AC%E3%82%A4%E3%81%97%E3%81%A6%E3%81%84%E3%81%9F%E3%81%A0%E3%81%8D%E3%81%82%E3%82%8A%E3%81%8C%E3%81%A8%E3%81%86%E3%81%94%E3%81%96%E3%81%84%E3%81%BE%E3%81%99%E3%80%8D%E3%81%A8%E3%81%AF%E3%81%A9%E3%81%86%E3%81%84%E3%81%86%E6%84%8F%E5%91%B3%E3%81%A7%E3%81%99%E3%81%8B%3F.png)
最近、Logwatch の Ubuntu 12.04 サーバーの SSH ログ サマリーに、以前表示されていた「11: Bye Bye [preauth]」および「11: ユーザーによって切断されました」メッセージに加えて、「11: 通常のシャットダウン、プレイしていただきありがとうございます [preauth]」のエントリが表示されるようになりました。
この数週間前まではログにこのメッセージは表示されておらず、Ubuntu 10.04 のままになっている古いサーバーでもこのメッセージは表示されていません。このメッセージを Google で検索しましたが、明確な説明は見つかりませんでした。
ログインを試み、このメッセージを受信している IP はランダムなハッキングの試みであり、事前認証から判断すると、成功していないと想定 (希望) していますが、このメッセージの意味と他のメッセージとの違いを正確に知りたいと思います。
追加情報編集: 私のサーバーではパスワード認証とルート認証の両方が無効になっています
答え1
ssh クライアントが「通常の」接続シャットダウンを行うと、メッセージを含むパケットが送信されます。ssh デーモンが予期しないときにそのようなパケットを受信すると (この場合は、ユーザーが認証する前に)、メッセージがログに記録されます (OpenSSH の古いバージョンでは、これは行われませんでした)。したがって、あなたの推測はまさに正しいです。これは、ブルート フォース ssh パスワード推測攻撃の副作用です。おそらく、fail2ban や sshguard などを実行して、iptables でこれらをブロックする必要があります。パスワードを許可しないようにすべてが正しく設定されていると思っていても、2 番目の防御層を用意しておくことをお勧めします。
答え2
受け入れられた回答は正しいですが、管理者がこれまでログ ファイルにそのようなメッセージを表示しなかった理由を説明する変更の理由を補足するために、この回答を投稿しようと思いました。
この問題は2014年1月にOpenSSH開発者リストで議論されました。OpenSSH 開発者、Damien Miller、
メッセージは基本的にずっと存在しています:
1.41 (markus 02-Jan-01): log("%s から切断を受信しました: %d: %.400s", ...
最近変更された唯一の点は、5.9 リリースで privsep モードでの事前認証メッセージのログ記録が改善され、
/dev/logprivsep chroot 内で が不要になったことです。古い OpenSSH バージョンが 5.9 未満で、/var/emptychroot に が含まれていなかった場合は/dev/log、これらのメッセージが失われていた可能性があります。
答え3
私も最近、サーバーの open-ssh パッケージをアップグレードして以来、ログ ファイルにこれらのメッセージが表示されることに気づきました。
ただし、メッセージが必ずしもハッキングの試みを意味するとは考えていません。一部のフレーズは、おそらく元の開発コードの名残として、正規の SSH クライアントにハードコードされています。たとえば、私の iOS SSH クライアント (iSSH) は、自分のサーバーから切断するときにこのフレーズを出力します。