Was bedeutet "Normales Herunterfahren, danke, dass Sie [preauth] gespielt haben" in SSH-Protokollen?

Kürzlich wurden in meinen SSH-Protokollzusammenfassungen für meine Ubuntu 12.04-Server in Logwatch Einträge für "11: Normal Shutdown, Vielen Dank für das Spielen von [preauth]" zusammen mit "11: Bye Bye [preauth]" und "11: disconnected by" angezeigt Benutzer "Nachrichten, die sie zuvor gezeigt hatten.

Ich habe diese Meldung in den letzten Wochen weder in meinen Protokollen noch auf meinen älteren Servern gesehen, die unter Ubuntu 10.04 nicht mehr funktionieren. Ich habe diese Nachricht gegoogelt und kann dort auch keine eindeutigen Erklärungen finden.

Die IPs, die versuchen, sich einzuloggen und diese Nachricht zu empfangen, sind zufällige Hackversuche. Ich gehe davon aus, dass sie nicht erfolgreich sind, aber ich möchte genau wissen, was diese Nachricht bedeutet und wie sie sich von anderen unterscheidet, um sicherzugehen.

BEARBEITEN für zusätzliche Informationen: Auf meinen Servern sind die Kennwortauthentifizierung und die Stammauthentifizierung deaktiviert

Wenn der ssh-Client eine "normale" Verbindungsunterbrechung durchführt, sendet er ein Paket mit einer Nachricht darin. Wenn der ssh-Dämon ein solches Paket erhält, wenn er es nicht erwartet - in diesem Fall, bevor der Benutzer sich authentifizieren konnte -, protokolliert er die Nachricht. (Ältere Versionen von OpenSSH haben dies nicht getan.) Ihre Vermutung ist also genau richtig: Es ist ein Nebeneffekt eines Brute-Force-SSH-Angriffs zum Erraten von Passwörtern. Sie sollten wahrscheinlich so etwas wie fail2ban oder sshguard ausführen, um diese in iptables zu blockieren. Selbst wenn Sie der Meinung sind, dass alles so konfiguriert ist, dass Passwörter nicht zugelassen werden, ist eine zweite Verteidigungsstufe sinnvoll.

Die akzeptierte Antwort ist korrekt, aber ich dachte, ich würde diese Antwort veröffentlichen, um sie mit einem Grund für die Änderung zu ergänzen, der erklärt, warum Administratoren solche Nachrichten zuvor nicht in ihren Protokolldateien gesehen haben.

Dieses Problem wurde im Januar 2014 auf der OpenSSH-Entwicklerliste diskutiert. Laut Damien Miller, OpenSSH-Entwickler ,

Die Botschaft war im Grunde schon immer da:

1.41 (markus 02-Jan-01): log ("Verbindungstrennung von% s erhalten:% d:% .400s", ...

Das Einzige, was sich in letzter Zeit geändert hat, ist, dass die Protokollierung von Vorauthentifizierungsnachrichten im PrivSEP-Modus in Version 5.9 verbessert wurde, sodass keine /dev/loginterne PrivSEP-Chroot mehr erforderlich ist . Wenn Ihre alte OpenSSH-Version <5.9 war und die /var/emptyChroot keine enthielt, haben /dev/logSie möglicherweise diese Nachrichten verpasst.

Diese Meldungen sind mir auch in meinen Protokolldateien aufgefallen, seit ich kürzlich das open-ssh-Paket auf meinen Servern aktualisiert habe.

Ich denke jedoch nicht, dass die Nachrichten notwendigerweise Hackversuche beinhalten. Einige der Phrasen sind in legitimen ssh-Clients fest codiert, vermutlich als Überbleibsel aus dem ursprünglichen Entwicklungscode. Mein iOS-SSH-Client (iSSH) gibt diesen Satz beispielsweise aus, wenn ich die Verbindung zu meinen eigenen Servern trenne.