sshd日志中“由xxx [preauth]关闭的连接”的含义


54

我们有一个Windows批处理脚本,该脚本通过PLINK(putty)自动连接到linux服务器。没有公共私钥认证,用户和密码在脚本中。

在我们的linux服务器上,我们有几个sshd日志条目(/ var / log / messages):

sshd[7645]: Connection closed by xxx [preauth]

发出此消息的原因可能是什么?
“ preauth”可能意味着“ pre authentication”?

有时,在条目“ closed by”中具有Windows客户端的IP地址,而在另一个条目中,Linux服务器的IP地址位于“ closed by”中。有人知道消息中客户端IP地址和主机IP地址之间的区别吗?


在中观察到时/usr/local/sbin/sshd -D -e,可能的解决方法:serverfault.com/a/211176
Ivan Chau

我遇到了同样的问题,在我的情况下,我将其范围缩小到以下事实:相同的密钥可以从作为VM运行的真实ubuntu上的ubuntu shell运行,而不是嵌入到Windows 10(AKA Windows Linux子系统)中的ubuntu。 。还没有弄清楚为什么,但是也许这仍然对某人
有所

检查/var/log/secureLogLevel DEBUG3/etc/ssh/sshd_config
伊万洲

Answers:


24

如选项sshd中所述,如果客户端在一段时间内未尝试进行身份验证,则服务器将断开连接-g

 -g login_grace_time
         Gives the grace time for clients to authenticate themselves
         (default 120 seconds).  If the client fails to authenticate
         the user within this many seconds, the server disconnects
         and exits.  A value of zero indicates no limit.

因此,我怀疑如果您在带有此消息的日志中看到服务器IP,则连接已关闭,因为在此宽限时间内未进行任何身份验证尝试。当您看到客户端IP时,表示用户关闭了客户端(或脚本已终止)而未进行身份验证尝试。


它可能是由例如nmap扫描引起的吗?
Qback18年

这通常是黑客尝试。我从中国,俄罗斯,日本等国看到了很多东西
jjxtra

3
如果消息中的IP地址是客户端的IP地址,则可能表明客户端正在尝试使用不正确的密码对其私钥进行身份验证。然后,他们的客户端无法解码密钥,并且在不尝试身份验证的情况下断开连接。
指挥官

7

就我而言,当我Host key verification failed.在ssh客户端遇到错误时,这些消息显示在/ var / log / secure中。这是导致没有登录尝试就进行连接的情况之一。


4

我有一个与您的问题非常相似的问题(尽管我使用的是公钥)。

原来是我的问题,可能是您的问题,是由于我的主目录是NFS挂载,而selinux(在CentOS 7上)抛出了一些错误(很难追踪)。修复很简单。

setsebool -P use_nfs_home_dirs 1 

2

这些消息的另一个来源是ssh-keyscan。它仅获取服务器主机密钥并断开连接而无需进行任何身份验证。



1

我有同样的问题,我这样解决了:

在ssh服务器上,我未注释,并在/ etc / ssh / sshd_config中将以下值放在

 RSAAuthentication yes
 PubkeyAuthentication yes

接着:

sudo service sshd restart

0

我遇到了同样的情况,因为iptablesINPUT规则是DRO​​P,但是接受ansible主机,但是没有规则iptables -I INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

在ansible主机中运行命令后,错误日志"Nov 3 01:34:50 debian sshd[29378]: Connection closed by 10.17.64.13 [preauth]"已写入"/var/log/auth.log"客户端计算机ansible all -m ping

因为ping数据包已被客户端接收,但没有返回到ansible主机。

By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.