最近,我在 Logwatch 中的 Ubuntu 12.04 服务器的 SSH 日志摘要开始显示“11:正常关机,感谢您玩 [preauth]”以及“11:再见 [preauth]”和“11:断开连接”的条目用户”他们之前显示的消息。
在过去几周之前,我没有在日志中看到这条消息,也没有在我的旧服务器上看到它,这些服务器卡在 Ubuntu 10.04 上。我在谷歌上搜索了这条消息,也找不到任何明确的解释。
尝试登录和接收此消息的 IP 是随机的 hack 尝试,从 preauth 来看,我假设(希望)它们没有成功,但我想确切地知道此消息的含义以及它与其他消息的不同之处。
编辑附加信息:我的服务器已禁用密码身份验证和根身份验证
小智 42
当 ssh 客户端“正常”关闭连接时,它会发送一个包含消息的数据包。当 ssh 守护进程在不期望的情况下收到这样的数据包时——在这种情况下,在用户设法进行身份验证之前——它会记录消息。(旧版本的 OpenSSH 没有这样做。)所以你的猜测是完全正确的:这是暴力 ssh 密码猜测攻击的副作用。您可能应该运行诸如 fail2ban 或 sshguard 之类的东西来阻止这些在 iptables 中;即使您认为所有内容都已正确配置为禁止使用密码,也最好有第二层防御。
Ant*_*gan 14
接受的答案是正确的,但我想我会发布这个答案来补充它,并解释为什么管理员以前没有在他们的日志文件中看到这样的消息。
这个问题在 2014 年 1 月的 OpenSSH 开发人员名单上讨论过。据OpenSSH 开发人员 Damien Miller 说,
该消息基本上永远存在:
1.41 (markus 02-Jan-01): log("收到来自 %s 的断开连接:%d: %.400s", ...
半最近唯一改变的是我们在 5.9 版本中改进了 privsep 模式下的预身份验证消息的日志记录,不再需要
/dev/logprivsep chroot 内部。如果您的旧 OpenSSH 版本是 <5.9 并且/var/emptychroot 中没有/dev/log,那么您可能已经错过了这些消息。