sshd日志中“由xxx [preauth]关闭的连接”的含义

我们有一个Windows批处理脚本，该脚本通过PLINK（putty）自动连接到linux服务器。没有公共私钥认证，用户和密码在脚本中。

在我们的linux服务器上，我们有几个sshd日志条目（/ var / log / messages）：

sshd[7645]: Connection closed by xxx [preauth]

发出此消息的原因可能是什么？
“ preauth”可能意味着“ pre authentication”？

有时，在条目“ closed by”中具有Windows客户端的IP地址，而在另一个条目中，Linux服务器的IP地址位于“ closed by”中。有人知道消息中客户端IP地址和主机IP地址之间的区别吗？

如选项sshd中所述，如果客户端在一段时间内未尝试进行身份验证，则服务器将断开连接-g。

 -g login_grace_time
         Gives the grace time for clients to authenticate themselves
         (default 120 seconds).  If the client fails to authenticate
         the user within this many seconds, the server disconnects
         and exits.  A value of zero indicates no limit.

因此，我怀疑如果您在带有此消息的日志中看到服务器IP，则连接已关闭，因为在此宽限时间内未进行任何身份验证尝试。当您看到客户端IP时，表示用户关闭了客户端（或脚本已终止）而未进行身份验证尝试。

就我而言，当我Host key verification failed.在ssh客户端遇到错误时，这些消息显示在/ var / log / secure中。这是导致没有登录尝试就进行连接的情况之一。

我有一个与您的问题非常相似的问题（尽管我使用的是公钥）。

原来是我的问题，可能是您的问题，是由于我的主目录是NFS挂载，而selinux（在CentOS 7上）抛出了一些错误（很难追踪）。修复很简单。

setsebool -P use_nfs_home_dirs 1 

这些消息的另一个来源是ssh-keyscan。它仅获取服务器主机密钥并断开连接而无需进行任何身份验证。

这些消息的来源之一是https://sshcheck.com/，它显示了ssh服务器上可能存在的漏洞。

它顺序导致大约4条这些消息。

我有同样的问题，我这样解决了：

在ssh服务器上，我未注释，并在/ etc / ssh / sshd_config中将以下值放在是

 RSAAuthentication yes
 PubkeyAuthentication yes

接着：

sudo service sshd restart

我遇到了同样的情况，因为iptablesINPUT规则是DRO​​P，但是接受ansible主机，但是没有规则iptables -I INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

在ansible主机中运行命令后，错误日志"Nov 3 01:34:50 debian sshd[29378]: Connection closed by 10.17.64.13 [preauth]"已写入"/var/log/auth.log"客户端计算机ansible all -m ping。

因为ping数据包已被客户端接收，但没有返回到ansible主机。