Bedeutung von "Verbindung durch xxx [preauth] geschlossen" in sshd-Protokollen

Wir haben ein Windows-Batch-Skript, das sich automatisch über PLINK (Putty) mit einem Linux-Server verbindet. Es gibt KEINE Authentifizierung mit einem öffentlichen privaten Schlüssel, der Benutzer und das Kennwort befinden sich im Skript.

Auf unserem Linux-Server haben wir mehrere sshd-Protokolleinträge (/ var / log / messages):

sshd[7645]: Connection closed by xxx [preauth]

Was könnte die Ursache für eine solche Nachricht sein?
"Vorauthentifizierung" bedeutet vermutlich "Vorauthentifizierung"?

Manchmal steht im Eintrag "closed by" die IP-Adresse des Windows-Clients, ein anderes Mal steht die IP-Adresse des Linux-Servers unter "closed by". Kennt jemand die Unterschiede zwischen Client-IP-Adresse und Host-IP-Adresse in der Nachricht?

Der sshdServer wird die Verbindung trennen, wenn der Client in einem bestimmten Zeitraum nicht versucht, sich zu authentifizieren, wie in der -gOption dokumentiert .

 -g login_grace_time
         Gives the grace time for clients to authenticate themselves
         (default 120 seconds).  If the client fails to authenticate
         the user within this many seconds, the server disconnects
         and exits.  A value of zero indicates no limit.

Ich vermute also, wenn Sie die Server-IP in den Protokollen mit dieser Meldung sehen, wurde die Verbindung geschlossen, da innerhalb dieser Kulanzzeit kein Authentifizierungsversuch aufgetreten ist. Wenn Sie die Client-IP sehen, bedeutet dies, dass der Benutzer seinen Client geschlossen hat (oder das Skript beendet wurde), ohne einen Authentifizierungsversuch durchzuführen.

In meinem Fall erschienen diese Meldungen in / var / log / secure, als ich Host key verification failed.auf der Seite des ssh-Clients Fehler bemerkte. Dies ist einer der Fälle, die zu einer Verbindung ohne Anmeldeversuch führen würden.

Ich hatte ein sehr ähnliches Problem wie Sie (obwohl ich einen öffentlichen Schlüssel verwendet habe).

Es stellte sich heraus, dass mein und möglicherweise Ihr Problem dadurch verursacht wurde, dass mein Ausgangsverzeichnis ein NFS-Mount war und Selinux (unter CentOS 7) einige Fehler verursachte (die nur schwer aufzuspüren waren). Die Lösung war allerdings einfach.

setsebool -P use_nfs_home_dirs 1 

Eine weitere Quelle für diese Art von Nachrichten ist ssh-keyscan. Es werden lediglich Server-Host-Schlüssel abgerufen und die Verbindung getrennt, ohne dass eine Authentifizierung erfolgt.

Eine Quelle dieser Nachrichten ist https://sshcheck.com/, die mögliche Schwachstellen auf Ihrem SSH-Server anzeigt.

Es werden nacheinander ca. 4 dieser Meldungen ausgelöst.

Ich hatte das gleiche Problem, ich habe es so gelöst:

Auf dem SSH-Server habe ich das Kommentarzeichen entfernt und die folgenden Werte in / etc / ssh / sshd_config auf yes gesetzt

 RSAAuthentication yes
 PubkeyAuthentication yes

Und dann:

sudo service sshd restart

Ich traf die gleiche Situation, weil die iptablesINPUT-Regel DROP war, aber den ansible Host AKZEPTIEREN, aber es gibt nicht die Regeliptables -I INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

Das Fehlerprotokoll "Nov 3 01:34:50 debian sshd[29378]: Connection closed by 10.17.64.13 [preauth]"wurde "/var/log/auth.log"auf dem Clientcomputer geschrieben, nachdem der Befehl ansible all -m pingauf dem anonymen Host ausgeführt wurde.

Weil das Ping-Paket vom Client empfangen wurde, aber nicht zum anonymen Host zurückkehrte.