Znaczenie „Połączenie zamknięte przez xxx [preauth]” w logach sshd

54

Mamy skrypt wsadowy dla systemu Windows, który automatycznie łączy się z serwerem Linux za pomocą PLINK (putty). Nie ma uwierzytelnienia publicznego klucza prywatnego, użytkownik i hasło są w skrypcie.

Na naszym serwerze linux mamy kilka wpisów w dzienniku sshd (/ var / log / messages):

sshd[7645]: Connection closed by xxx [preauth]

Co może być przyczyną takiej wiadomości?
„preauth” prawdopodobnie oznacza „wstępne uwierzytelnienie”?

Czasami we wpisie „zamknięty przez” ma adres IP klienta Windows, innym razem jest adres IP serwera linuksowego w „zamknięty przez”. Czy ktoś zna różnicę między adresem IP klienta a adresem IP hosta w wiadomości?

ssh logs authentication

— Wolfgang Adamec
źródło

W przypadku zaobserwowania w /usr/local/sbin/sshd -D -e, możliwe obejście: serverfault.com/a/211176

— Ivan Chau

Mam ten sam problem i w moim przypadku zawęziłem go do faktu, że ten sam klucz działa z powłoki ubuntu na prawdziwym ubuntu działającym jako maszyna wirtualna, a nie z ubuntu osadzonego w systemie Windows 10 (AKA Windows Linux Subsystem) . Nie wiem jeszcze, dlaczego, ale może to komuś pomaga

— Jens Kisters

Sprawdzić /var/log/securez LogLevel DEBUG3w/etc/ssh/sshd_config

— Ivan Chau

24

sshdSerwer rozłączy, jeśli klient nie próbuje uwierzytelnić w pewnym okresie czasu, co zostało udokumentowane w -gopcji.

 -g login_grace_time
         Gives the grace time for clients to authenticate themselves
         (default 120 seconds).  If the client fails to authenticate
         the user within this many seconds, the server disconnects
         and exits.  A value of zero indicates no limit.

Podejrzewam więc, że jeśli zobaczysz adres IP serwera w dziennikach z tym komunikatem, połączenie zostało zamknięte, ponieważ w tym czasie karencji nie podjęto próby uwierzytelnienia. Gdy zobaczysz adres IP klienta, oznacza to, że użytkownik zamknął klienta (lub skrypt został zakończony) bez próby uwierzytelnienia.

— oeuftete
źródło

Czy może to być spowodowane np. Skanowaniem nmap?

— Qback

Zazwyczaj są to próby włamania. Dużo widzę z Chin, Rosji, Japonii itp.

— jjxtra,

3

Jeśli adres IP w wiadomości jest adresem IP klienta, może to oznaczać, że klient próbuje się uwierzytelnić przy użyciu niepoprawnego hasła dla swojego klucza prywatnego. Ich klient następnie nie dekoduje klucza i rozłącza się bez próby uwierzytelnienia.

— Code Commander

7

W moim przypadku komunikaty te pojawiły się w Host key verification failed.katalogu / var / log / secure, gdy wystąpiły błędy po stronie klienta ssh. Jest to jeden z przypadków, które spowodowałyby połączenie bez próby logowania.

— pcronin
źródło

4

Miałem bardzo podobny problem do twojego (chociaż korzystałem z klucza publicznego).

Okazuje się, że mój problem, i prawdopodobnie twój, został spowodowany, ponieważ mój katalog domowy był podłączeniem do NFS, a selinux (na CentOS 7) zgłaszał pewne błędy (które były dość trudne do wyśledzenia). Poprawka była jednak prosta.

setsebool -P use_nfs_home_dirs 1

— Szymon
źródło

2

Innym źródłem tego rodzaju wiadomości jest ssh-keyscan. Po prostu pobiera klucze hosta serwera i rozłącza się bez uwierzytelniania.

— x-yuri
źródło

2

Jednym ze źródeł tych wiadomości jest https://sshcheck.com/, który pokazuje możliwe słabości na twoim serwerze ssh.

Powoduje sekwencję około 4 takich komunikatów.

— Daniel F.
źródło

1

Miałem ten sam problem, rozwiązałem go w następujący sposób:

Na serwerze ssh odkomentowałem i ustawiłem na tak następujące wartości w / etc / ssh / sshd_config

 RSAAuthentication yes
 PubkeyAuthentication yes

I wtedy:

sudo service sshd restart

— matowy
źródło

0

Spotkałem się z tą samą sytuacją, ponieważ iptablesreguła INPUT to DROP, ale AKCEPTUJĘ host ansible, ale nie ma tej regułyiptables -I INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

Dziennik błędów "Nov 3 01:34:50 debian sshd[29378]: Connection closed by 10.17.64.13 [preauth]"został zapisany "/var/log/auth.log"na komputerze klienta po uruchomieniu polecenia ansible all -m pingna hoście ansible.

Ponieważ pakiet ping otrzymał klient, ale nie wrócił do hosta ansible.

— VictorLee
źródło