Sshd kayıtlarında “xxx [preauth] tarafından kapatılan bağlantı” anlamı

54

PLINK (macun) aracılığıyla otomatik olarak linux sunucuya bağlanan bir Windows toplu komut dosyası var. HAYIR özel anahtar kimlik doğrulaması YOK, kullanıcı ve şifre komut dosyasında.

Linux sunucumuzda birkaç sshd log girişimiz var (/ var / log / messages):

sshd[7645]: Connection closed by xxx [preauth]

Böyle bir mesajın nedeni ne olabilir?
"ön hazırlık", "ön kimlik doğrulama" anlamına mı geliyor?

Bazen, "kapalı" girişinde, windows istemcisinin ip adresi bulunur, başka bir seferinde linux sunucusunun ip adresi "kapalı" olur. Mesajdaki müşteri ip adresi ile ana ip adresi arasındaki farkı fark eden var mı?

ssh logs authentication

— Wolfgang Adamec
kaynak

/usr/local/sbin/sshd -D -e

— Ivan Chau

Aynı sorunu yaşıyorum ve benim durumumda, aynı anahtarın Windows 10 (AKA Windows Linux Alt Sistemi) içine yerleştirilmiş ubuntudan değil, VM olarak çalışan gerçek bir ubuntudaki bir ubuntu kabuğundan çalıştığı gerçeğine kadar daralttım. . Nedenini henüz çözemedik, ama belki de bu hala birine yardımcı oluyor

— Jens Kisters

Kontrol /var/log/secureile LogLevel DEBUG3de/etc/ssh/sshd_config

— Ivan Chau

24

sshdİstemci belgelenen olarak, belli bir süre içinde kimlik doğrulaması yapmaya etmezse sunucu bağlantısını keser -gseçeneği.

 -g login_grace_time
         Gives the grace time for clients to authenticate themselves
         (default 120 seconds).  If the client fails to authenticate
         the user within this many seconds, the server disconnects
         and exits.  A value of zero indicates no limit.

Bu nedenle, sunucu IP adresini bu mesajla birlikte günlüklerinde görürseniz, bağlantı kesildi, çünkü bu yetkisiz kullanım süresi içinde kimlik doğrulama denemesi gerçekleşmedi. İstemci IP'sini gördüğünüzde, kullanıcının bir kimlik doğrulama denemesi yapmadan istemcisini (veya komut dosyası sonlandırıldı) kapattığı anlamına gelir.

— oeuftete
kaynak

Örneğin nmap taramasından kaynaklanabilir mi?

— Qback

Bu genellikle kesmek girişimleridir. Çin'den, Rusya'dan, Japonya'dan vb. Çok şey görüyorum

— jjxtra

3

Mesajdaki IP adresi müşterinin IP adresi ise, istemcinin özel anahtarı için yanlış parola ile kimlik doğrulaması yapmaya çalıştığını gösterebilir. Müşterileri daha sonra anahtarı çözemez ve kimlik doğrulama girişiminde bulunmadan bağlantı kesilir.

— Kod Komutanı

7

Benim durumumda, Host key verification failed.ssh istemcisi tarafında hatalarla karşılaştığımda bu mesajlar / var / log / secure'te göründü . Bu, oturum açma denemesi olmadan bağlantıya yol açabilecek durumlardan biridir.

— pcronin
kaynak

4

Seninkiyle çok benzer bir problemim vardı (genel anahtarı kullanıyor olmama rağmen).

Sorunum ortaya çıktı ve muhtemelen sizinki, ana dizimin bir NFS bağlayıcısı olması nedeniyle ortaya çıktı ve selinux (CentOS 7'de) bazı hatalar atıyordu (bu durumun izlenmesi oldukça zordu). Düzeltme olsa da basitti.

setsebool -P use_nfs_home_dirs 1

— Simon
kaynak

2

Bu tür mesajların bir başka kaynağı da ssh-keyscan. Sunucu ana bilgisayar anahtarlarını alır ve herhangi bir kimlik doğrulama yapılmadan bağlantıyı keser.

— X-yuri
kaynak

2

Bu mesajların bir kaynağı, ssh sunucunuzdaki olası zayıflığı gösteren https://sshcheck.com/ ' dır .

Bu mesajların yaklaşık 4 tanesini sırayla verir.

— Daniel F
kaynak

1

Ben de aynı problemi yaşadım, şöyle çözdüm:

Ben ssh sunucusunda uncommented ve evet / / etc / ssh / sshd_config de aşağıdaki değerleri koydu

 RSAAuthentication yes
 PubkeyAuthentication yes

Ve sonra:

sudo service sshd restart

— mat
kaynak

0

Aynı durumla karşılaştım, çünkü iptablesINPUT kuralı DROP'du, ama sorumlu sunucuyu KABUL ET, ama kuralı yokiptables -I INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

Hata günlüğü "Nov 3 01:34:50 debian sshd[29378]: Connection closed by 10.17.64.13 [preauth]"yazdı edildi "/var/log/auth.log"komut sonra istemci makine ansible all -m pingyanıtlayıcı 'konakta koştu edildi.

Çünkü ping paketi müşteri tarafından alınmıştı, ancak cevaplanabilir ana bilgisayara geri dönmedi.

— VictorLee
kaynak