SSH日志中的“正常关闭，谢谢您播放[preauth]”是什么意思？

最近，我在Logwatch中针对Ubuntu 12.04服务器的SSH日志摘要已开始显示“ 11：正常关机，感谢您播放[preauth]”条目以及“ 11：Bye Bye [preauth]”和“ 11：断开连接用户”消息，他们之前一直在显示。

过去几周之前，我没有在日志中看到此消息，也没有在滞留于Ubuntu 10.04的旧服务器上看到此消息。我已经用Google搜索了此消息，也无法在其中找到任何清晰的解释。

尝试登录并接收此消息的IP是随机黑客尝试，从我认为（希望）的预身份验证来看，它们并不成功，但是我想确切地知道此消息的含义以及与其他消息的区别。

编辑其他信息：我的服务器已禁用密码身份验证和root身份验证

当ssh客户端执行“正常”连接关闭时，它将发送一个带有消息的数据包。当ssh守护程序在不希望收到此类数据包时-在这种情况下，在用户设法进行身份验证之前-会记录该消息。（较旧的OpenSSH版本没有这样做。）因此您的猜测是完全正确的：这是暴力ssh密码猜测攻击的副作用。您可能应该运行诸如fail2ban或sshguard之类的东西来将其阻止在iptables中。即使您认为所有内容都已正确配置为禁止输入密码，也可以进行第二层防御。

接受的答案是正确的，但我想我会发布此答案，以补充说明更改原因的原因，该原因解释了管理员以前未在日志文件中看到此类消息的原因。

2014年1月，在OpenSSH开发人员名单上讨论了此问题。OpenSSH开发人员Damien Miller表示，

该消息基本上一直存在：

1.41（Markus 02-Jan-01）：log（“收到与％s断开连接：％d：％.400s”，...

最近唯一更改的是，我们在5.9版本中改进了以privsep模式进行的预身份验证消息的日志记录，以不再需要/dev/logprivsep chroot内部。如果您的旧OpenSSH版本低于5.9，并且/var/emptychroot中没有chroot /dev/log，则您可能已经丢失了这些消息。

自从最近升级服务器上的open-ssh软件包以来，我也在日志文件中注意到了这些消息。

但是，我认为这些消息不一定暗示黑客企图。有些短语被硬编码到合法的ssh客户端中，大概是原始开发代码中的残余。例如，当我与自己的服务器断开连接时，我的iOS ssh-client（iSSH）发出此短语。