SSHログの「通常のシャットダウン、[preauth]をプレイしていただきありがとうございます」とはどういう意味ですか?
最近、LogwatchのUbuntu 12.04サーバーの私のSSHログの概要に、「11:通常のシャットダウン、[preauth]をプレイしていただきありがとうございます」、「11:Bye Bye [preauth]」、「11:disconnected byユーザー」メッセージは以前に表示されていました。
過去数週間前にログにこのメッセージが表示されていません。また、Ubuntu 10.04でスタックしている古いサーバーでも表示されていません。私はこのメッセージをグーグルで検索しましたが、そこにも明確な説明はありません。
ログインを試みてこのメッセージを受信するIPは、ランダムなハックの試みであり、事前認証から判断して、それらは成功しないと思います(期待します)が、このメッセージの意味と他のメッセージとの違いを正確に知りたいのですが。
追加情報の編集:サーバーでパスワード認証とルート認証の両方が無効になっています
Sshクライアントが「通常の」接続シャットダウンを行うと、メッセージが含まれたパケットが送信されます。 sshデーモンが予期しないときにこのようなパケットを取得すると(この場合は、ユーザーが認証に成功する前に)、メッセージを記録します。 (OpenSSHの古いバージョンはこれを行いませんでした。)したがって、あなたの推測は正確です。これは、ブルートフォースのsshパスワード推測攻撃の副作用です。 iptablesでこれらをブロックするには、おそらくfail2banやsshguardなどを実行しているはずです。すべてがパスワードを許可しないように正しく構成されていると考えている場合でも、第2層の防御策を講じることは十分です。
承認された答えは正しいですが、管理者が以前にそのようなメッセージをログファイルに表示しなかった理由を説明する変更の理由を補足するために、この答えを投稿すると思いました。
この問題は、2014年1月にOpenSSH開発者のリストで議論されました。 Damien Miller、OpenSSH開発者 によると、
メッセージは基本的に永遠にそこにありました:
1.41(マーカス02-Jan-01):log( "Received disconnect from%s:%d:%.400s"、...
最近変更された唯一のことは、5.9リリースのprivsepモードでの事前認証メッセージのロギングを改善して、privsep chroot内に
/dev/logが不要になったことです。古いOpenSSHバージョンが5.9未満で、/var/emptychrootに/dev/logが含まれていない場合、これらのメッセージが欠落している可能性があります。
最近、サーバーのopen-sshパッケージをアップグレードしてから、ログファイルにこれらのメッセージが表示されることに気づきました。
ただし、メッセージが必ずしもハッキングの試みを示唆しているとは思いません。フレーズの一部は、おそらく元の開発コードの残骸として、正当なsshクライアントにハードコードされています。たとえば、自分のiOS ssh-client(iSSH)は、自分のサーバーから切断するとこのフレーズを発します。