Frage Was bedeutet "Normales Herunterfahren, Danke für das Abspielen [preauth]" In SSH Logs bedeuten?


Vor kurzem haben meine SSH - Protokollzusammenfassungen für meine Ubuntu 12.04 - Server in Logwatch begonnen, Einträge für "11: Normales Herunterfahren, Danke für das Spielen von [preauth]" zusammen mit den "11: Bye Bye [preauth]" und "11: disconnected by Benutzer "Nachrichten, die sie zuvor gezeigt hatten.

Ich habe diese Nachricht nicht in meinen Logs vor den letzten Wochen gesehen, noch habe ich sie auf meinen älteren Servern gesehen, die auf Ubuntu 10.04 stecken. Ich habe diese Nachricht gegoogelt und kann auch dort keine klaren Erklärungen finden.

Die IPs, die versuchen, sich anzumelden und diese Nachricht zu empfangen, sind zufällige Hackversuche, und ich gehe davon aus, dass sie nicht erfolgreich sind, aber ich würde gerne genau wissen, was diese Nachricht bedeutet und wie sie sich von anderen unterscheidet.

EDIT für zusätzliche Information: Meine Server haben Passwort-Authentifizierung und Root-Authentifizierung beide deaktiviert


32
2017-12-04 16:03


Ursprung


Welche Version von libssh2, und wurde sie kürzlich aktualisiert? Soweit ich weiß, ist dies nur eine normale Beendigung, wenn der Server den Benutzer nicht autorisieren kann. - nerve
SSH selbst hat die folgende "ssh-V" -Ausgabe: OpenSSH_5.9p1 Debian-5ubuntu1.1, OpenSSL 1.0.1 14. März 2012. Ich bin mir nicht sicher, wo ich die Versionsnummer der libssh2 finden soll. - Dave Stern


Antworten:


Wenn der SSH-Client einen "normalen" Verbindungsabbruch durchführt, sendet er ein Paket mit einer Nachricht darin. Wenn der ssh-Daemon ein solches Paket erhält, wenn es es nicht erwartet - in diesem Fall, bevor sich der Benutzer authentifizieren konnte - protokolliert es die Nachricht. (Ältere Versionen von OpenSSH haben dies nicht getan.) Also ist Ihre Vermutung genau richtig: Es ist ein Nebeneffekt eines Brute-Force-Angriffs mit ssh-Passwort-Raten. Sie sollten wahrscheinlich etwas wie fail2ban oder sshguard ausführen, um diese in iptables zu blockieren; Selbst wenn Sie denken, dass alles korrekt konfiguriert ist, um Passwörter zu verbieten, ist es gut, eine zweite Verteidigungsstufe zu haben.


30
2017-12-24 05:26



Aber warum "thank you for playing"? - Qback
@Qback Legacy-Snark von frühen Linux-grauen Bärten. - aaiezza


Die angenommene Antwort ist korrekt, aber ich dachte, ich würde diese Antwort posten, um sie mit einem Grund für die Änderung zu ergänzen, der erklärt, warum Administratoren solche Nachrichten in ihren Protokolldateien nicht zuvor gesehen haben.

Dieses Problem wurde im Januar 2014 auf der OpenSSH-Entwicklerliste diskutiert Damien Miller, OpenSSH-Entwickler,

Die Nachricht war im Grunde für immer da:

1.41 (markus 02-Jan-01): log ("Empfangene Verbindung trennen von% s:% d:% .400s", ...

Das einzige, was sich in letzter Zeit geändert hat, ist, dass wir die Protokollierung von Vorauthentifizierungsnachrichten im Privsep-Modus im Release 5.9 verbessert haben, um a nicht mehr zu benötigen /dev/log in der Privsep Chroot. Wenn Ihre alte OpenSSH-Version <5.9 war und die /var/empty Chroot hatte keine /dev/log In diesem Fall haben Sie möglicherweise diese Nachrichten verloren.


10
2018-05-02 23:29





Auch ich habe diese Nachrichten in meinen Protokolldateien bemerkt, seit ich das open-ssh-Paket auf meinen Servern aktualisiert habe.

Ich denke jedoch nicht, dass die Nachrichten notwendigerweise Hackversuche beinhalten. Einige der Phrasen sind in legitime ssh-Clients festgeschrieben, vermutlich als Überbleibsel aus dem ursprünglichen Entwicklungscode. Mein iOS ssh-client (iSSH) gibt zum Beispiel diesen Satz aus, wenn ich die Verbindung zu meinen eigenen Servern abbringe.


2
2018-04-10 15:38



Nicht mit [preauth]. Dies weist speziell darauf hin, dass der Client sich nicht erfolgreich beim Server authentifiziert hat. - Michael Hampton♦
Du hast recht, Michael. Ich habe mich nur auf den Ausdruck "Normaler Stillstand, Danke fürs Spielen" bezogen. Offensichtlich, wenn ich mich legitim mit meinem eigenen Server verbinde, läuft die Authentifizierung ab. Ich denke, die Aufmerksamkeit auf diese und ähnliche Phrasen ("Normal Shutdown ..") ist, weil sie vorher in den Protokollen nicht sichtbar waren, und jetzt sind sie. Das Verhalten des SSH-Clients ändert sich nicht. - ebahn