![Was bedeutet „Normales Herunterfahren, Danke fürs Spielen [preauth]“ in SSH-Protokollen?](https://rvso.com/image/622178/Was%20bedeutet%20%E2%80%9ENormales%20Herunterfahren%2C%20Danke%20f%C3%BCrs%20Spielen%20%5Bpreauth%5D%E2%80%9C%20in%20SSH-Protokollen%3F.png)
Seit Kurzem zeigen meine SSH-Protokollzusammenfassungen für meine Ubuntu 12.04-Server in Logwatch neben den Meldungen „11: Bye Bye [preauth]“ und „11: vom Benutzer getrennt“, die sie schon vorher angezeigt hatten, nun auch Einträge für „11: Normales Herunterfahren, Danke fürs Spielen [preauth]“ an.
Ich habe diese Meldung in den letzten Wochen weder in meinen Protokollen noch auf meinen älteren Servern gesehen, die auf Ubuntu 10.04 festhängen. Ich habe diese Meldung gegoogelt und konnte auch dort keine klaren Erklärungen finden.
Bei den IPs, die versuchen, sich anzumelden und diese Nachricht erhalten, handelt es sich um zufällige Hackerangriffe. Aufgrund der Vorauthentifizierung gehe ich davon aus (und hoffe auch), dass sie nicht erfolgreich sind. Um sicherzugehen, würde ich jedoch gerne genau wissen, was diese Nachricht bedeutet und wie sie sich von anderen unterscheidet.
EDIT für weitere Informationen: Auf meinen Servern sind sowohl die Kennwortauthentifizierung als auch die Root-Authentifizierung deaktiviert
Antwort1
Wenn der SSH-Client eine „normale“ Verbindung beendet, sendet er ein Paket mit einer Nachricht darin. Wenn der SSH-Daemon ein solches Paket unerwartet erhält – in diesem Fall, bevor der Benutzer sich authentifizieren konnte – protokolliert er die Nachricht. (Ältere Versionen von OpenSSH haben dies nicht getan.) Ihre Vermutung ist also genau richtig: Es handelt sich um eine Nebenwirkung eines Brute-Force-Angriffs zum Erraten von SSH-Passwörtern. Sie sollten wahrscheinlich etwas wie fail2ban oder sshguard ausführen, um diese in iptables zu blockieren; selbst wenn Sie denken, dass alles richtig konfiguriert ist, um Passwörter zu verbieten, ist es gut, eine zweite Verteidigungsebene zu haben.
Antwort2
Die akzeptierte Antwort ist richtig, aber ich dachte, ich poste diese Antwort, um sie mit einem Grund für die Änderung zu ergänzen und zu erklären, warum Administratoren derartige Nachrichten zuvor nicht in ihren Protokolldateien gesehen haben.
Dieses Problem wurde im Januar 2014 auf der OpenSSH-Entwicklerliste diskutiert. LautDamien Miller, OpenSSH-Entwickler,
Die Botschaft steht im Prinzip schon immer da:
1.41 (Markus, 2. Januar 2001): Protokoll („Verbindungstrennung von %s empfangen: %d: %.400s“, …
Die einzige Änderung, die sich vor kurzem ergeben hat, ist, dass wir die Protokollierung von Vorauthentifizierungsnachrichten im Privsep-Modus in der Version 5.9 verbessert haben, sodass
/dev/loginnerhalb des Privsep-Chroots kein erforderlich ist. Wenn Ihre alte OpenSSH-Version <5.9 war und der/var/emptyChroot kein enthielt,/dev/loghaben Sie diese Nachrichten möglicherweise verpasst.
Antwort3
Auch mir sind diese Meldungen in meinen Protokolldateien aufgefallen, seit ich vor Kurzem das Open-SSH-Paket auf meinen Servern aktualisiert habe.
Ich glaube jedoch nicht, dass die Nachrichten unbedingt auf Hackerangriffe hindeuten. Einige der Sätze sind in legitimen SSH-Clients fest einprogrammiert, vermutlich als Überbleibsel des ursprünglichen Entwicklungscodes. Mein iOS-SSH-Client (iSSH) gibt beispielsweise diesen Satz aus, wenn ich die Verbindung zu meinen eigenen Servern trenne.