O que significa "Desligamento normal, obrigado por jogar [preauth]" nos logs SSH?

Question 1

Quando o cliente ssh desliga a conexão "normal", ele envia um pacote com uma mensagem. Quando o daemon ssh recebe esse pacote quando não o esperava - neste caso, antes que o usuário conseguisse autenticar - ele registra a mensagem. (Versões mais antigas do OpenSSH não faziam isso.) Portanto, sua suposição está exatamente correta: é um efeito colateral de um ataque de força bruta para adivinhação de senha ssh. Você provavelmente deveria estar executando algo como fail2ban ou sshguard para bloqueá-los no iptables; mesmo que você ache que tudo está configurado corretamente para proibir senhas, é bom ter uma segunda camada de defesa.

Answer

Quando o cliente ssh desliga a conexão "normal", ele envia um pacote com uma mensagem. Quando o daemon ssh recebe esse pacote quando não o esperava - neste caso, antes que o usuário conseguisse autenticar - ele registra a mensagem. (Versões mais antigas do OpenSSH não faziam isso.) Portanto, sua suposição está exatamente correta: é um efeito colateral de um ataque de força bruta para adivinhação de senha ssh. Você provavelmente deveria estar executando algo como fail2ban ou sshguard para bloqueá-los no iptables; mesmo que você ache que tudo está configurado corretamente para proibir senhas, é bom ter uma segunda camada de defesa.

Question 2

A resposta aceita está correta, mas pensei em postar esta resposta para complementá-la com um motivo para a alteração, explicando por que os administradores não viam anteriormente essas mensagens em seus arquivos de log.

Este problema foi discutido na lista de desenvolvedores OpenSSH em janeiro de 2014. De acordo comDamien Miller, desenvolvedor OpenSSH,

A mensagem está lá basicamente desde sempre:

1.41 (markus 02-Jan-01): log("Desconexão recebida de %s: %d: %.400s", ...

A única coisa que mudou recentemente é que melhoramos o registro de mensagens de pré-autenticação no modo privsep na versão 5.9 para não precisar mais de um /dev/logchroot dentro do privsep. Se a sua versão antiga do OpenSSH era <5.9 e o /var/emptychroot não continha um /dev/log, então você pode estar perdendo essas mensagens.

Answer

A resposta aceita está correta, mas pensei em postar esta resposta para complementá-la com um motivo para a alteração, explicando por que os administradores não viam anteriormente essas mensagens em seus arquivos de log.

Este problema foi discutido na lista de desenvolvedores OpenSSH em janeiro de 2014. De acordo comDamien Miller, desenvolvedor OpenSSH,

A mensagem está lá basicamente desde sempre:

1.41 (markus 02-Jan-01): log("Desconexão recebida de %s: %d: %.400s", ...

A única coisa que mudou recentemente é que melhoramos o registro de mensagens de pré-autenticação no modo privsep na versão 5.9 para não precisar mais de um /dev/logchroot dentro do privsep. Se a sua versão antiga do OpenSSH era <5.9 e o /var/emptychroot não continha um /dev/log, então você pode estar perdendo essas mensagens.

Question 3

Eu também notei essas mensagens em meus arquivos de log desde a atualização recente do pacote open-ssh em meus servidores.

No entanto, não creio que as mensagens impliquem necessariamente tentativas de hack. Algumas das frases são codificadas em clientes SSH legítimos, presumivelmente como remanescentes do código de desenvolvimento original. Meu cliente ssh do iOS (iSSH), por exemplo, emite esta frase quando eu me desconecto dos meus próprios servidores.

Answer

Eu também notei essas mensagens em meus arquivos de log desde a atualização recente do pacote open-ssh em meus servidores.

No entanto, não creio que as mensagens impliquem necessariamente tentativas de hack. Algumas das frases são codificadas em clientes SSH legítimos, presumivelmente como remanescentes do código de desenvolvimento original. Meu cliente ssh do iOS (iSSH), por exemplo, emite esta frase quando eu me desconecto dos meus próprios servidores.

O que significa "Desligamento normal, obrigado por jogar [preauth]" nos logs SSH?

Responder1

Responder2

Responder3

informação relacionada