Недавно в моих сводках журнала SSH для моих серверов Ubuntu 12.04 в Logwatch начали отображаться записи для «11: Нормальное выключение, спасибо за игру [preauth]» вместе с «11: Bye Bye [preauth]» и «11: отключено с помощью сообщения пользователя, которые они показывали ранее.
Я не видел этого сообщения в своих журналах до последних нескольких недель, и я не видел его на своих старых серверах, которые застряли на Ubuntu 10.04. Я погуглил это сообщение и не могу найти там четких объяснений.
IP-адреса, пытающиеся войти в систему и получившие это сообщение, представляют собой случайные попытки взлома, и, судя по предварительной аутентификации, я предполагаю (надеюсь), что они не увенчались успехом, но я хотел бы точно знать, что означает это сообщение и чем оно отличается от других, чтобы быть уверенным.
ИЗМЕНИТЬ для получения дополнительной информации: на моих серверах отключены аутентификация по паролю и аутентификация root
Когда клиент ssh выполняет «обычное» завершение соединения, он отправляет пакет с сообщением в нем. Когда демон ssh получает такой пакет, когда он его не ожидает - в данном случае до того, как пользователю удалось пройти аутентификацию - он регистрирует сообщение. (В более старых версиях OpenSSH этого не было.) Итак, ваше предположение совершенно верно: это побочный эффект атаки методом подбора пароля по ssh. Вам, вероятно, следует запустить что-то вроде fail2ban или sshguard, чтобы заблокировать их в iptables; даже если вы думаете, что все настроено правильно, чтобы запретить использование паролей, лучше иметь второй уровень защиты.
Принятый ответ правильный, но я подумал, что опубликую этот ответ, чтобы дополнить его причиной изменения, объясняющей, почему администраторы ранее не видели такие сообщения в своих файлах журнала.
Этот вопрос обсуждался в списке разработчиков OpenSSH в январе 2014 года. Дэмиен Миллер, разработчик OpenSSH,
Послание было там вечно:
1.41 (Маркус 02.01.01): log ("Получено отключение от% s:% d:% .400s", ...
Единственное, что изменилось совсем недавно, - это то, что мы улучшили ведение журнала сообщений предварительной аутентификации в режиме Privsep в версии 5.9, чтобы больше не требовалось
/dev/logвнутри привсепа chroot. Если ваша старая версия OpenSSH была <5.9 и/var/emptychroot не имел/dev/logв нем вы могли пропустить эти сообщения.
Я тоже заметил эти сообщения в своих файлах журнала с тех пор, как недавно обновил пакет open-ssh на моих серверах.
Однако я не думаю, что сообщения обязательно подразумевают попытки взлома. Некоторые из фраз жестко запрограммированы в законных клиентах ssh, предположительно как остатки исходного кода разработки. Например, мой ssh-клиент iOS (iSSH) издает эту фразу, когда я отключаюсь от своих серверов.