Значение «Соединение закрыто ххх [preauth]» в логах sshd

54

У нас есть пакетный скрипт Windows, который автоматически подключается к серверу Linux через PLINK (putty). НЕТ аутентификации с использованием открытого личного ключа, пользователь и пароль указаны в скрипте.

На нашем сервере Linux у нас есть несколько записей журнала sshd (/ var / log / messages):

sshd[7645]: Connection closed by xxx [preauth]

Что может быть причиной для такого сообщения?
«preauth» вероятно означает «предварительная аутентификация»?

Иногда в записи «closed by» есть ip-адрес клиента windows, в другой раз ip-адрес сервера linux находится в «closed by». Кто-нибудь знает различие между IP-адресом клиента и IP-адресом хоста в сообщении?

ssh logs authentication Вольфганг Адамек
источник
При обнаружении в /usr/local/sbin/sshd -D -eвозможном обходном
Иван Чау
Я испытываю ту же проблему, и в моем случае я сузил ее до того факта, что тот же ключ работает от оболочки Ubuntu на реальном Ubuntu, работающем как виртуальная машина, а не от Ubuntu, встроенного в Windows 10 (AKA Windows Linux Subsystem) , Еще не выяснил, почему, но, может быть, это еще кому-то поможет
Дженс Кистерс
Проверьте /var/log/secureс LogLevel DEBUG3в/etc/ssh/sshd_config
Иван Чау

Ответы:

24

sshdСервер будет отключен , если клиент не пытается проверить подлинность в течение определенного периода времени, как описано в -gварианте.

 -g login_grace_time
         Gives the grace time for clients to authenticate themselves
         (default 120 seconds).  If the client fails to authenticate
         the user within this many seconds, the server disconnects
         and exits.  A value of zero indicates no limit.

Поэтому я подозреваю, что если вы видите IP-адрес сервера в журналах с этим сообщением, соединение было закрыто, поскольку в течение этого льготного периода не было попыток аутентификации. Когда вы видите IP-адрес клиента, это означает, что пользователь закрыл свой клиент (или сценарий завершился) без попытки аутентификации.

oeuftete
источник
Это может быть вызвано, например, сканированием Nmap?
Qback
Обычно это попытки взлома. Я многое вижу из Китая, России, Японии и т. Д.
jjxtra
3
Если IP-адрес в сообщении является IP-адресом клиента, это может означать, что клиент пытается выполнить аутентификацию с неверной парольной фразой для своего закрытого ключа. Затем их клиент не может декодировать ключ и отключается без попытки аутентификации.
Код командира
7

В моем случае эти сообщения появлялись в / var / log / secure, когда у меня возникали Host key verification failed.ошибки на стороне клиента ssh. Это один из случаев, когда соединение будет выполняться без попытки входа в систему.

pcronin
источник
4

У меня была очень похожая проблема с вашей (хотя я использовал открытый ключ).

Оказывается, моя проблема, и, возможно, ваша, была вызвана тем, что мой домашний каталог был NFS-монтированием, а selinux (в CentOS 7) выдавал некоторые ошибки (которые было довольно трудно отследить). Исправление было простым, хотя.

setsebool -P use_nfs_home_dirs 1
Саймон
источник
2

Другой источник такого рода сообщений ssh-keyscan. Он просто захватывает ключи хоста сервера и отключается без какой-либо аутентификации.

х-юри
источник
2

Одним из источников этих сообщений является https://sshcheck.com/, который отображает возможные недостатки на вашем сервере SSH.

Это вызывает около 4 из этих сообщений последовательно.

Даниэль Ф
источник
1

У меня была такая же проблема, я решил ее так:

На сервере ssh я раскомментировал и поставил в yes следующие значения в / etc / ssh / sshd_config

 RSAAuthentication yes
 PubkeyAuthentication yes

А потом:

sudo service sshd restart
матовый
источник
0

Я сталкивался с такой же ситуацией, потому что iptablesправилом INPUT было DROP, но ПРИНИМАЮ на ответный хост, но там нет правилаiptables -I INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

Журнал ошибок "Nov 3 01:34:50 debian sshd[29378]: Connection closed by 10.17.64.13 [preauth]"был записан "/var/log/auth.log"на клиентском компьютере после того, как команда ansible all -m pingбыла выполнена на хосте ansible.

Потому что пакет ping получил клиентом, но не вернулся на ANSIBLE хост.

VictorLee
источник