SSH kayıtlarında “Normal Kapatma, [preauth] oynadığınız için teşekkür ederiz” ne demektir?

37

Son zamanlarda, Logwatch'daki Ubuntu 12.04 sunucularım için SSH günlük özetlerim, "11: Bye Bye [preauth]" ve "11: bağlantısız" ile birlikte "11: Normal Kapatma, [preauth]" oynadığınız için teşekkür ederiz. kullanıcı "daha önce gösterdikleri mesajları"

Son birkaç haftadan önce bu iletiyi günlüklerimde görmedim, ne de Ubuntu 10.04'te kalmış eski sunucularımda görmedim. Bu iletiyi googledim ve orada net bir açıklama bulamıyorum.

Bu mesajı girmeye ve almaya çalışan IP'ler rastgele kesilme girişimleridir ve kabul ettiğim vaazdan (umuduyla) başarılı olmadıklarını düşünürler, ancak bu iletinin ne anlama geldiğini ve diğerlerinden nasıl emin olduklarını tam olarak bilmek isterim.

Ek bilgi için EDIT: Sunucularımın şifre doğrulaması ve kök doğrulaması hem devre dışı

ssh  logwatch 
Dave Stern
kaynak
Libssh2'nin hangi sürümü ve yakın zamanda güncellendi? Bildiğim kadarıyla, sunucu kullanıcıyı yetkilendiremediğinde bu normal bir sonlandırma.
Sinir
SSH'nin kendisi şu "ssh -V" çıktısına sahiptir: OpenSSH_5.9p1 Debian-5ubuntu1.1, OpenSSL 1.0.1 14 Mart 2012. Libssh2 sürüm numarasını nerede bulacağınızdan emin değilim.
Dave Stern

Yanıtlar:

36

Ssh istemcisi "normal" bir bağlantıyı kapattığında, içinde bir mesaj olan bir paket gönderir. Ssh arka plan programı beklenmediğinde böyle bir paket aldığında - bu durumda kullanıcı kimliği doğrulamayı başarmadan önce - mesajı günlüğe kaydeder. (OpenSSH'nin eski sürümleri bunu yapmadı.) Bu yüzden sizin beklentiniz tam olarak doğru: bu bir kaba kuvvet ssh şifre tahmini saldırısının bir yan etkisi. Muhtemelen iptables içinde bunları engellemek için fail2ban veya sshguard gibi bir şey çalıştırıyor olmalısınız; Parolalara izin vermemek için her şeyin doğru bir şekilde yapılandırıldığını düşünüyorsanız bile, ikinci bir savunma katmanına sahip olmak iyidir.

Garrett Wollman
kaynak
15
Ama neden "thank you for playing"?
Qback
7
@ Qback acy Legacy erken Linux gri sakallarından koptu.
aaiezza 19:18
10

Kabul edilen cevap doğru, ancak yöneticilerin bu mesajları daha önce günlük dosyalarında neden görmediklerini açıklayan bir değişiklik sebebini tamamlamak için bu cevabı göndereceğimi düşündüm.

Bu konu, Ocak 2014’te OpenSSH geliştirici listesinde tartışıldı. OpenSSH geliştiricisi Damien Miller’a göre ,

Mesaj temelde sonsuza dek oradaydı:

1.41 (markus 02-Jan-01): log ("% s:% d:% .400s bağlantısı kesildi", ...

Yarı son zamanlarda değişmiş olan tek şey, 5.9 sürümündeki privsep modunda ön kimlik doğrulama iletilerinin günlüğe kaydedilmesini, artık /dev/logprivsep chroot'unun içine ihtiyaç duymayacak şekilde geliştirmemizdir. Eski OpenSSH sürümünüz <5.9 ise ve /var/emptychroot'un içinde değilse, /dev/logbu mesajları kaçırıyor olabilirsiniz.

Anthony G - Monica için adalet
kaynak
2

Bu mesajları günlük dosyalarımda da görmüştüm, son zamanlarda sunucularımdaki open-ssh paketini yükselttim.

Ancak, mesajların mutlaka kesmek girişimleri anlamına geldiğini sanmıyorum. İfadelerden bazıları, muhtemelen orijinal geliştirme kodundaki kalıntıları gibi meşru ssh istemcileri olarak kodlanmıştır. Örneğin iOS ssh-client (iSSH) kendi sunucularımdan ayrıldığımda bu cümleyi yayar.

ebahn
kaynak
1
[Preauth] ile değil. Bu özellikle istemcinin sunucuya başarıyla kimlik doğrulamadığını gösterir.
Michael Hampton
1
Haklısın Michael. Sadece "Normal Shutdown, Oynamak için teşekkürler" cümlesini kastediyordum. Açıkçası, yasal olarak kendi sunucuma bağlandığımda athentication devam ediyor. Bence bu ve benzeri ifadelerin ('Normal Shutdown ..') dikkatini daha önce kütüklerde görmemeleri ve şimdi olduklarını düşünüyorum. Ssh istemcisinin davranışında herhangi bir değişiklik yoktur.
ebahn
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.