需要暴露给互联网的Linux(特别是Debian Jessie)服务器正在日志中preauth各种OpenSSH 6.7 preauth错误。 例如,我越来越(时间戳清楚):
等等。
我并不担心这些探测器本身; 系统保持最新状态,根据当前的最佳实践,OpenSSHconfiguration已经得到很好的强化,并且还有额外的保护措施(例如fail2ban)。
是否有任何理由为什么任何OpenSSH preauth日志条目将需要特别的人类关注?
问题的答案什么是“正常关机,感谢您玩[preauth]”在SSH日志中是什么意思? 表明这个问题的具体情况是可以忽略的; 我的问题是更通用的。
看起来你已经采取了一些特定的步骤来加强OpenSSH 。
作为这些更改的副作用,结合运行相对较新的OpenSSH版本,您将收到更多有关连接失败的详细日志条目。
您所看到的所有preauth消息均属于此类别,并表示由于某种原因未能build立连接的客户端。 在大多数情况下,这些连接在客户端能够尝试用户名和密码之前失败。
使用这些日志条目最好的办法是将它们提供给日志聚合器,并为安全研究人员制作好看的图表。 他们不需要任何个人干预。
当然,你应该继续干预那些表示密码被尝试和失败的消息。 你现有的工具,如fail2ban将在这里很好地为你服务,虽然你会发现你的禁止列表比以前小得多,因为大多数SSHpowershell僵尸程序还没有使用现代encryption(这是大多数这些消息的根本原因)。
另一个可能需要干预的地方是授权用户不能连接,因为他们使用旧版本的ssh客户端(例如古老的PuTTY或FileZilla版本)。 将客户端更新到最新版本可以解决这些问题。