Co oznacza „Normal Shutdown, Dziękujemy za grę [preauth]” W logach SSH?

Ostatnio, Moje podsumowania dziennika SSH dla moich serwerów Ubuntu 12.04 w Logwatch zaczęły wyświetlać wpisy dla „11: Normalne wyłączenie, Dziękujemy za grę w [preauth]” wraz z „11: Bye Bye [preauth]” i „11: odłączony przez wiadomości użytkowników ”, które wyświetlali wcześniej.

Nie widziałem tego komunikatu w moich dziennikach przed kilkoma tygodniami, ani nie widziałem go na moich starszych serwerach, które utknęły na Ubuntu 10.04. Przeszukałem tę wiadomość i nie mogę tam znaleźć żadnych jasnych wyjaśnień.

Adresy IP, które próbują się zalogować i odebrać tę wiadomość, są przypadkowymi próbami włamania i sądząc po preauth zakładam (mam nadzieję), że nie powiodły się, ale chciałbym wiedzieć dokładnie, co oznacza ta wiadomość i jak różni się od innych, aby się upewnić.

EDYCJA w celu uzyskania dodatkowych informacji: Moje serwery mają zarówno uwierzytelnianie hasłem, jak i uwierzytelnianie rootem

Gdy klient ssh wykonuje „normalne” połączenie, wysyła pakiet z komunikatem. Gdy demon ssh otrzymuje taki pakiet, gdy się go nie spodziewa - w tym przypadku, zanim użytkownik zdoła się uwierzytelnić - rejestruje komunikat. (Starsze wersje OpenSSH tego nie zrobiły). Więc twoje przypuszczenie jest dokładnie poprawne: jest to efekt uboczny ataku ssh polegającego na zgadywaniu hasła. Prawdopodobnie powinieneś uruchomić coś takiego jak fail2ban lub sshguard, aby zablokować je w iptables; nawet jeśli uważasz, że wszystko jest poprawnie skonfigurowane tak, aby nie zezwalać na hasła, dobrze jest mieć drugą warstwę obrony.

Przyjęta odpowiedź jest poprawna, ale pomyślałem, że opublikuję tę odpowiedź, aby uzupełnić ją o przyczynę zmiany wyjaśniającej, dlaczego administratorzy nie widzieli wcześniej takich wiadomości w swoich plikach dziennika.

Ten problem został omówiony na liście programistów OpenSSH w styczniu 2014 r. Według Damiena Millera, programisty OpenSSH ,

Wiadomość była tam w zasadzie na zawsze:

1.41 (markus 02-Jan-01): log („Otrzymano rozłączenie z% s:% d:% .400s”, ...

Jedyną rzeczą, która zmieniła się częściowo od niedawna, jest to, że poprawiliśmy rejestrowanie wiadomości przedautoryzacyjnych w trybie prywatnym w wersji 5.9, aby nie potrzebowały już /dev/logwewnątrz chroota privsep. Jeśli twoja stara wersja OpenSSH była <5.9 i /var/emptychroot nie miał /dev/logw niej, być może brakowało Ci tych wiadomości.

Też zauważyłem te komunikaty w moich plikach dziennika od czasu ostatniej aktualizacji pakietu open-ssh na moich serwerach.

Jednak nie sądzę, aby wiadomości musiały oznaczać próby włamania. Niektóre wyrażenia są zakodowane na stałe w legalnych klientach ssh, prawdopodobnie jako pozostałości oryginalnego kodu programistycznego. Na przykład mój klient ssh (iOSSS) na iOS emituje tę frazę po odłączeniu się od własnych serwerów.