SSH日志中的“正常关闭,谢谢您播放[preauth]”是什么意思?


37

最近,我在Logwatch中针对Ubuntu 12.04服务器的SSH日志摘要已开始显示“ 11:正常关机,感谢您播放[preauth]”条目以及“ 11:Bye Bye [preauth]”和“ 11:断开连接用户”消息,他们之前一直在显示。

过去几周之前,我没有在日志中看到此消息,也没有在滞留于Ubuntu 10.04的旧服务器上看到此消息。我已经用Google搜索了此消息,也无法在其中找到任何清晰的解释。

尝试登录并接收此消息的IP是随机黑客尝试,从我认为(希望)的预身份验证来看,它们并不成功,但是我想确切地知道此消息的含义以及与其他消息的区别。

编辑其他信息:我的服务器已禁用密码身份验证和root身份验证


什么版本的libssh2,最近更新了吗?据我所知,这只是服务器无法验证用户身份时的正常终止。
神经

SSH本身具有以下“ ssh -V”输出:OpenSSH_5.9p1 Debian-5ubuntu1.1,OpenSSL 1.0.1 2012年3月14日。我不确定在哪里可以找到libssh2版本号。
Dave Stern

Answers:


36

当ssh客户端执行“正常”连接关闭时,它将发送一个带有消息的数据包。当ssh守护程序在不希望收到此类数据包时-在这种情况下,在用户设法进行身份验证之前-会记录该消息。(较旧的OpenSSH版本没有这样做。)因此您的猜测是完全正确的:这是暴力ssh密码猜测攻击的副作用。您可能应该运行诸如fail2ban或sshguard之类的东西来将其阻止在iptables中。即使您认为所有内容都已正确配置为禁止输入密码,也可以进行第二层防御。


15
但是为什么"thank you for playing"呢?
Qback18年

7
@Qback😂Legacy从早期的Linux灰色胡须中溜走了。
aaiezza

10

接受的答案是正确的,但我想我会发布此答案,以补充说明更改原因的原因,该原因解释了管理员以前未在日志文件中看到此类消息的原因。

2014年1月,在OpenSSH开发人员名单上讨论了此问题。OpenSSH开发人员Damien Miller表示

该消息基本上一直存在:

1.41(Markus 02-Jan-01):log(“收到与%s断开连接:%d:%.400s”,...

最近唯一更改的是,我们在5.9版本中改进了以privsep模式进行的预身份验证消息的日志记录,以不再需要/dev/logprivsep chroot内部。如果您的旧OpenSSH版本低于5.9,并且/var/emptychroot中没有chroot /dev/log,则您可能已经丢失了这些消息。


2

自从最近升级服务器上的open-ssh软件包以来,我也在日志文件中注意到了这些消息。

但是,我认为这些消息不一定暗示黑客企图。有些短语被硬编码到合法的ssh客户端中,大概是原始开发代码中的残余。例如,当我与自己的服务器断开连接时,我的iOS ssh-client(iSSH)发出此短语。


1
不能使用[preauth]。这特别表明客户端未成功向服务器认证。
迈克尔·汉普顿

1
你说得对,迈克尔。我仅指的是“正常关机,谢谢您的演奏”。显然,当我合法地连接到我自己的服务器时,认证过程继续进行。我认为对此和类似短语(“ Normal Shutdown ..”)的关注是因为它们以前在日志中不可见,现在已经可见。ssh客户端的行为没有变化。
ebahn 2014年
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.