![SSH 日誌中的「正常關閉,感謝您玩[preauth]」是什麼意思?](https://rvso.com/image/622178/SSH%20%E6%97%A5%E8%AA%8C%E4%B8%AD%E7%9A%84%E3%80%8C%E6%AD%A3%E5%B8%B8%E9%97%9C%E9%96%89%EF%BC%8C%E6%84%9F%E8%AC%9D%E6%82%A8%E7%8E%A9%5Bpreauth%5D%E3%80%8D%E6%98%AF%E4%BB%80%E9%BA%BC%E6%84%8F%E6%80%9D%EF%BC%9F.png)
最近,Logwatch 中我的 Ubuntu 12.04 伺服器的 SSH 日誌摘要已開始顯示“11:正常關閉,感謝您玩 [preauth]”條目以及“11:再見 [preauth]”和“11:已斷開連接”用戶”他們之前顯示過的訊息。
在過去幾週之前,我沒有在日誌中看到此訊息,也沒有在停留在 Ubuntu 10.04 上的舊伺服器上看到此訊息。我用谷歌搜尋了這則訊息,也找不到任何明確的解釋。
嘗試登入和接收此訊息的 IP 是隨機的駭客嘗試,從預先身份驗證來看,我認為(希望)它們沒有成功,但我想確切地知道此訊息的含義以及它與其他訊息有何不同。
編輯附加資訊:我的伺服器停用了密碼身份驗證和根身份驗證
答案1
當 ssh 用戶端執行「正常」連線關閉時,它會發送一個包含訊息的封包。當 ssh 守護程式在未預料到的情況下收到這樣的資料包時(在本例中是在使用者成功進行身份驗證之前),它會記錄該訊息。 (舊版的 OpenSSH 沒有這樣做。)所以您的猜測完全正確:這是暴力 ssh 密碼猜測攻擊的副作用。你可能應該運行fail2ban或sshguard之類的東西來阻止iptables中的這些;即使您認為所有內容都已正確配置為不允許使用密碼,但最好還是有第二層防禦。
答案2
接受的答案是正確的,但我想我應該發布這個答案來補充它,並提供更改的原因,解釋為什麼管理員以前沒有在日誌檔案中看到此類訊息。
這個問題在 2014 年 1 月的 OpenSSH 開發者名單上進行了討論。Damien Miller,OpenSSH 開發人員,
該消息基本上一直存在:
1.41 (markus 02-Jan-01): log("收到與 %s 的斷開連線: %d: %.400s", ...
最近唯一發生的變化是,我們在 5.9 版本中改進了 privsep 模式下預先驗證訊息的日誌記錄,不再需要
/dev/log在 privsep chroot 中進行操作。如果您的舊 OpenSSH 版本低於 5.9 且/var/emptychroot 中沒有 ,/dev/log那麼您可能會遺失這些訊息。
答案3
自從最近升級我的伺服器上的 open-ssh 軟體包以來,我也注意到了我的日誌檔案中的這些訊息。
然而,我認為這些消息並不一定意味著駭客企圖。有些短語被硬編碼到合法的 ssh 用戶端中,大概是原始開發程式碼的殘餘。例如,當我與自己的伺服器斷開連線時,我的 iOS ssh 用戶端 (iSSH) 會發出此短語。