最近,Logwatch中我的Ubuntu 12.04服务器的SSH日志摘要已经开始显示“11:Normal Shutdown,感谢您播放[preauth]”以及“11:Bye Bye [preauth]”和“11:disconnected by用户“消息,他们以前已经显示。
在过去的几个星期之前,我在日志中没有看到这个消息,也没有在Ubuntu 10.04上的旧服务器上看到这个消息。 我用googlesearch这个信息,也找不到任何明确的解释。
试图login和接收这个消息的IP是随机黑客企图,从我认为(假定)他们不成功的preauth来判断,但我想知道这个消息到底是什么意思,以及如何区别于其他人。
编辑更多的信息:我的服务器有密码authentication和根authentication都禁用
当ssh客户端进行“正常”连接closures时,会发送一个包含消息的包。 当ssh守护程序在不期望的情况下获得这样的数据包时(在这种情况下,在用户设法进行身份validation之前)会logging消息。 (旧版本的OpenSSH没有这样做。)所以你的猜测是完全正确的:这是一个暴力ssh密码猜测攻击的副作用。 你可能应该运行一些类似fail2ban或者sshguard的东西来阻止这些在iptables中; 即使你认为所有的东西都被正确configuration为禁止密码,最好还是有第二层防御。
接受的答案是正确的,但我想我会张贴这个答案来补充它的变化的原因解释为什么pipe理员以前没有看到这样的消息在他们的日志文件。
这个问题在2014年1月的OpenSSH开发者名单上进行了讨论。根据OpenSSH开发者Damien Miller的说法,
消息基本上永远在那里:
1.41(markus 01-Jan-01):log(“从%s接收的断开连接:%d:%.400s”,…
最近改变的唯一的事情是,我们在5.9版本中以privsep模式改进了预authentication消息的日志logging,以便不再需要privsep chroot中的
/dev/log
。 如果您的旧版OpenSSH版本<5.9,并且/var/empty
chroot没有/dev/log
,那么您可能错过了这些消息。
自从最近升级服务器上的open-ssh包以来,我也在日志文件中注意到这些消息。
但是,我不认为这些消息必然意味着黑客的企图。 一些短语被硬编码成合法的ssh客户端,大概是原始开发代码的残余。 当我从我自己的服务器断开连接时,我的iOS ssh-client(iSSH)发出这个短语。