![¿Qué significa "Apagado normal, gracias por jugar [preautorización]" en los registros SSH?](https://rvso.com/image/622178/%C2%BFQu%C3%A9%20significa%20%22Apagado%20normal%2C%20gracias%20por%20jugar%20%5Bpreautorizaci%C3%B3n%5D%22%20en%20los%20registros%20SSH%3F.png)
Recientemente, mis resúmenes de registros SSH para mis servidores Ubuntu 12.04 en Logwatch comenzaron a mostrar entradas para "11: Apagado normal, gracias por jugar [preauth]" junto con "11: Bye Bye [preauth]" y "11: desconectado por "mensajes de usuario" que habían estado mostrando anteriormente.
No he visto este mensaje en mis registros antes de las últimas semanas, ni lo he visto en mis servidores más antiguos que están bloqueados en Ubuntu 10.04. Busqué en Google este mensaje y tampoco encuentro explicaciones claras allí.
Las IP que intentan iniciar sesión y recibir este mensaje son intentos de pirateo aleatorios y, a juzgar por la autenticación previa, supongo (espero) que no tienen éxito, pero me gustaría saber exactamente qué significa este mensaje y en qué se diferencia de otros para estar seguro.
EDITAR para obtener información adicional: Mis servidores tienen la autenticación de contraseña y la autenticación de raíz ambas deshabilitadas
Respuesta1
Cuando el cliente ssh cierra la conexión "normal", envía un paquete con un mensaje. Cuando el demonio ssh recibe un paquete de este tipo cuando no lo esperaba (en este caso, antes de que el usuario lograra autenticarse), registra el mensaje. (Las versiones anteriores de OpenSSH no hacían esto). Entonces, su suposición es exactamente correcta: es un efecto secundario de un ataque de fuerza bruta para adivinar contraseñas ssh. Probablemente deberías ejecutar algo como fail2ban o sshguard para bloquearlos en iptables; Incluso si cree que todo está configurado correctamente para no permitir contraseñas, es bueno tener una segunda capa de defensa.
Respuesta2
La respuesta aceptada es correcta, pero pensé en publicar esta respuesta para complementarla con un motivo del cambio que explique por qué los administradores no veían anteriormente dichos mensajes en sus archivos de registro.
Este tema se discutió en la lista de desarrolladores de OpenSSH en enero de 2014. SegúnDamien Miller, desarrollador de OpenSSH,
El mensaje ha estado ahí básicamente desde siempre:
1.41 (markus 02-ene-01): log("Se recibió desconexión de %s: %d: %.400s", ...
Lo único que ha cambiado recientemente es que mejoramos el registro de mensajes de autenticación previa en modo privsep en la versión 5.9 para que ya no necesitemos un
/dev/logchroot interno de privsep. Si su versión anterior de OpenSSH era <5.9 y el/var/emptychroot no tenía un/dev/logarchivo, es posible que le hayan faltado estos mensajes.
Respuesta3
Yo también he notado estos mensajes en mis archivos de registro desde que actualicé recientemente el paquete open-ssh en mis servidores.
Sin embargo, no creo que los mensajes impliquen necesariamente intentos de piratería. Algunas de las frases están codificadas en clientes ssh legítimos, presumiblemente como restos del código de desarrollo original. Mi cliente ssh de iOS (iSSH), por ejemplo, emite esta frase cuando me desconecto de mis propios servidores.