![Что означает «Нормальное завершение работы, спасибо за игру [preauth]» в журналах SSH?](https://rvso.com/image/622178/%D0%A7%D1%82%D0%BE%20%D0%BE%D0%B7%D0%BD%D0%B0%D1%87%D0%B0%D0%B5%D1%82%20%C2%AB%D0%9D%D0%BE%D1%80%D0%BC%D0%B0%D0%BB%D1%8C%D0%BD%D0%BE%D0%B5%20%D0%B7%D0%B0%D0%B2%D0%B5%D1%80%D1%88%D0%B5%D0%BD%D0%B8%D0%B5%20%D1%80%D0%B0%D0%B1%D0%BE%D1%82%D1%8B%2C%20%D1%81%D0%BF%D0%B0%D1%81%D0%B8%D0%B1%D0%BE%20%D0%B7%D0%B0%20%D0%B8%D0%B3%D1%80%D1%83%20%5Bpreauth%5D%C2%BB%20%D0%B2%20%D0%B6%D1%83%D1%80%D0%BD%D0%B0%D0%BB%D0%B0%D1%85%20SSH%3F.png)
Недавно в сводках журналов SSH для моих серверов Ubuntu 12.04 в Logwatch появились записи «11: Обычное выключение, спасибо за игру [preauth]» вместе с сообщениями «11: Пока-пока [preauth]» и «11: отключено пользователем», которые они показывали ранее.
Я не видел этого сообщения в своих журналах до последних нескольких недель, и я не видел его на моих старых серверах, которые застряли на Ubuntu 10.04. Я гуглил это сообщение и не могу найти там никаких внятных объяснений.
IP-адреса, с которых пытались войти в систему и получили это сообщение, являются случайными попытками взлома, и, судя по предварительной аутентификации, я предполагаю (надеюсь), что они не увенчались успехом, но я хотел бы точно знать, что означает это сообщение и чем оно отличается от других, чтобы быть уверенным.
EDIT для получения дополнительной информации: На моих серверах отключены как аутентификация по паролю, так и аутентификация root.
решение1
Когда клиент ssh выполняет "нормальное" отключение соединения, он отправляет пакет с сообщением в нем. Когда демон ssh получает такой пакет, когда он его не ожидает — в данном случае, до того, как пользователь успел пройти аутентификацию — он регистрирует сообщение. (Старые версии OpenSSH этого не делали.) Так что ваша догадка совершенно верна: это побочный эффект атаки подбора пароля ssh методом подбора. Вероятно, вам следует запустить что-то вроде fail2ban или sshguard, чтобы заблокировать их в iptables; даже если вы думаете, что все правильно настроено на запрет паролей, неплохо иметь второй уровень защиты.
решение2
Принятый ответ верен, но я подумал, что опубликую этот ответ, чтобы дополнить его причиной изменения, объяснив, почему администраторы ранее не видели таких сообщений в своих файлах журналов.
Эта проблема обсуждалась в списке разработчиков OpenSSH в январе 2014 года. СогласноДэмиен Миллер, разработчик OpenSSH,
Послание существовало практически всегда:
1.41 (markus 02-янв-01): log("Получено отключение от %s: %d: %.400s", ...
Единственное, что изменилось относительно недавно, это то, что мы улучшили регистрацию сообщений предварительной аутентификации в режиме privsep в выпуске 5.9, чтобы больше не нуждаться в
/dev/logprivsep chroot. Если ваша старая версия OpenSSH была <5.9 и/var/emptychroot не имел/dev/logв себе , то вы могли пропустить эти сообщения.
решение3
Я тоже заметил эти сообщения в своих лог-файлах после недавнего обновления пакета open-ssh на моих серверах.
Однако я не думаю, что сообщения обязательно подразумевают попытки взлома. Некоторые фразы жестко закодированы в легитимных клиентах ssh, предположительно как остатки исходного кода разработки. Например, мой клиент ssh iOS (iSSH) выдает эту фразу, когда я отключаюсь от своих собственных серверов.