Что означает «Нормальное завершение работы, спасибо за игру [preauth]» в журналах SSH?

37

Недавно в моих сводках журнала SSH для моих серверов Ubuntu 12.04 в Logwatch начали отображаться записи для «11: Нормальное завершение работы, спасибо за игру [preauth]» вместе с «11: Bye Bye [preauth]» и «11: отсоединен от сообщения пользователя, которые они показывали ранее.

Я не видел этого сообщения в своих журналах за последние несколько недель и не видел его на своих старых серверах, которые зависли в Ubuntu 10.04. Я погуглил это сообщение и не могу найти там никаких четких объяснений.

IP-адреса, пытающиеся войти в систему и получить это сообщение, являются случайными попытками взлома, и, исходя из предавления, я предполагаю (надеюсь), что они не увенчались успехом, но я хотел бы точно знать, что означает это сообщение и чем оно отличается от других, чтобы быть уверенным.

РЕДАКТИРОВАТЬ для получения дополнительной информации: на моих серверах аутентификация по паролю и аутентификация root отключены

ssh logwatch Дейв Стерн
источник
Какая версия libssh2 и была ли она недавно обновлена? Насколько я знаю, это обычное завершение, когда сервер не может авторизовать пользователя.
нерв
Сам SSH имеет следующий вывод "ssh -V": OpenSSH_5.9p1 Debian-5ubuntu1.1, OpenSSL 1.0.1 14 марта 2012 года. Я не уверен, где отследить номер версии libssh2.
Дейв Стерн

Ответы:

36

Когда клиент ssh выполняет «нормальное» отключение соединения, он отправляет пакет с сообщением в нем. Когда демон ssh получает такой пакет, когда он его не ожидает - в данном случае, до того, как пользователю удалось пройти проверку подлинности - он регистрирует сообщение. (Более старые версии OpenSSH этого не делали.) Таким образом, ваша догадка абсолютно верна: это побочный эффект атаки подбора паролей по ssh. Вероятно, вы должны запустить что-то вроде fail2ban или sshguard, чтобы заблокировать их в iptables; даже если вы думаете, что все настроено правильно для запрета паролей, хорошо бы иметь второй уровень защиты.

Гаррет Уоллман
источник
15
Но почему "thank you for playing"?
Qback
7
@Qback 😂 Унаследованный снарк от ранних седых бород Linux.
Aaiezza
10

Принятый ответ правильный, но я решил опубликовать этот ответ, чтобы дополнить его причиной изменения, объясняющей, почему администраторы ранее не видели такие сообщения в своих файлах журнала.

Эта проблема обсуждалась в списке разработчиков OpenSSH в январе 2014 года. По словам Дэмиена Миллера, разработчика OpenSSH ,

Сообщение было там в основном навсегда:

1.41 (отметка 02-янв-01): журнал («Получено отключение от% s:% d:% .400s», ...

Единственное, что изменилось за последнее время, - это то, что мы улучшили запись сообщений предварительной аутентификации в режиме privsep в версии 5.9, чтобы больше не нуждаться во /dev/logвнутреннем chroot privsep. Если ваша старая версия OpenSSH была <5.9 и у /var/emptychroot не было /dev/logв ней, возможно, вы пропустили эти сообщения.

Энтони Дж - справедливость для Моники
источник
2

Я также заметил эти сообщения в моих файлах журнала с недавнего обновления пакета open-ssh на моих серверах.

Однако я не думаю, что сообщения обязательно подразумевают попытки взлома. Некоторые фразы жестко закодированы в легитимных ssh-клиентах, предположительно как остатки из исходного кода разработки. Например, мой ssh-клиент iOS (iSSH) выдает эту фразу, когда я отключаюсь от своих собственных серверов.

ebahn
источник
1
Не с [предавлением]. Это конкретно указывает на то, что клиент не прошел аутентификацию на сервере.
Майкл Хэмптон
1
Ты прав, Майкл. Я имел в виду только фразу «Нормальное завершение работы, спасибо за игру». Очевидно, что когда я законно подключаюсь к своему собственному серверу, аутентификация продолжается. Я думаю, что внимание к этой и аналогичным фразам («Нормальное отключение ...») связано с тем, что раньше их не было видно в журналах, а теперь они есть. В поведении клиента ssh нет никаких изменений.
Ebahn