Назад | Перейти на главную страницу

Требуют ли какие-либо записи журнала ошибок OpenSSH 6.7 `preauth` особого внимания человека?

Сервер Linux (в частности, Debian Jessie), который должен быть доступен в Интернете, выдает различные OpenSSH 6.7 preauth ошибки в логах. Например, я получаю (временные метки опущены для ясности):

и так далее.

Я не особо беспокоюсь о самих датчиках; система поддерживается в актуальном состоянии, конфигурация OpenSSH достаточно хорошо защищена в соответствии с текущими передовыми практиками, и есть дополнительные средства защиты (например, fail2ban).

Есть ли причина, по которой preauth Записи журнала OpenSSH требуют особого внимания человека?

Ответы на вопрос Что означает «Нормальное выключение, спасибо за игру [preauth]» в журналах SSH? указывает, что конкретный случай в этом вопросе можно проигнорировать; мой вопрос более общий.

Похоже, ты взял конкретные шаги по укреплению OpenSSH.

В качестве побочного эффекта этих изменений, в сочетании с запуском относительно недавней версии OpenSSH, вы получите гораздо более подробные записи журнала об ошибках подключения.

Все сообщения preauth, которые вы видите, попадают в эту категорию и представляют клиента, которому по какой-то причине не удалось установить соединение. По большей части эти соединения терпят неудачу до того, как клиент сможет попытаться ввести имя пользователя и пароль.

Лучшее, что можно сделать с этими записями в журнале, - передать их агрегатору журналов и построить хорошие графики для исследователей безопасности. Они не нуждаются в индивидуальном вмешательстве человека.

Конечно, вы должны продолжать вмешиваться в сообщения, которые указывают на то, что попытка ввода пароля была неудачной. Ваши существующие инструменты, такие как fail2ban, будут вам хорошо служить здесь, хотя вы обнаружите, что ваши списки запретов намного меньше, чем раньше, поскольку большинство ботов с грубой силой ssh ​​еще не используют современное шифрование (что является основной причиной большинства этих сообщений).

Еще одно место, где вам может понадобиться вмешаться, - это уполномоченный пользователи, которые больше не могут подключиться, потому что они используют старые версии клиентов ssh (например, древнюю версию PuTTY или FileZilla). Обновление клиента до последней версии устраняет эти проблемы.