SSHログで「通常のシャットダウン、[preauth]をプレイしていただきありがとうございます」とはどういう意味ですか?


37

最近、LogwatchのUbuntu 12.04サーバーのSSHログの概要に、「11:Bye Bye [preauth]」および「11:切断者」とともに「11:Normal Shutdown、Thank you for [preauth]」のエントリが表示され始めました。以前に表示していたユーザー」メッセージ。

過去数週間前にログでこのメッセージを見たことがありませんし、Ubuntu 10.04でスタックしている古いサーバーでも見ませんでした。このメッセージをグーグルで検索しましたが、明確な説明も見つかりません。

ログインしてこのメ​​ッセージを受信しようとするIPはランダムなハックの試みであり、事前認証から判断すると、それらは成功しないと思います(希望)が、このメッセージの意味と他のユーザーとの違いを確実に知りたいと思います。

追加情報の編集:サーバーでパスワード認証とルート認証の両方が無効になっています


libssh2のどのバージョンで、最近更新されましたか?私の知る限り、これはサーバーがユーザーを認証できない場合の単なる正常終了です。
神経

SSH自体には、次の「ssh -V」出力があります。OpenSSH_5.9p1 Debian-5ubuntu1.1、OpenSSL 1.0.1 2012年3月14日。libssh2のバージョン番号を追跡する場所がわかりません。
デイブスターン

回答:


36

sshクライアントが「通常の」接続シャットダウンを行うと、メッセージを含むパケットを送信します。sshデーモンは、予期しないときにこのようなパケットを取得すると(この場合、ユーザーが認証する前に)メッセージを記録します。(古いバージョンのOpenSSHはこれを行いませんでした。)あなたの推測は正確です。これは、ブルートフォースのsshパスワード推測攻撃の副作用です。iptablesでこれらをブロックするには、おそらくfail2banやsshguardなどを実行する必要があります。パスワードが許可されないようにすべてが正しく構成されていると思われる場合でも、第2層の防御が必要です。


15
しかし、なぜ"thank you for playing"ですか?
-Qback

7
@Qback😂初期のLinuxの灰色のあごひげのレガシースナーク。
aaiezza

10

受け入れられた答えは正しいですが、ログファイルに管理者が以前にそのようなメッセージを表示しなかった理由を説明する変更の理由で補足するために、この答えを投稿すると思いました。

この問題は、2014年1月にOpenSSH開発者リストで議論されました。OpenSSH開発者のDamien Miller氏によると、

メッセージは基本的に永遠に存在しています:

1.41(markus 02-Jan-01):log( "%sからの切断を受信しました:%d:%.400s"、...

半最近変更された唯一のことは、5.9リリースのprivsepモードでの事前認証メッセージのロギングを改善し/dev/log、privsep chroot内が不要になったことです。古いOpenSSHバージョンが5.9未満で、/var/emptychrootに含まれていなかった場合、/dev/logこれらのメッセージが欠落している可能性があります。


2

最近、サーバー上のopen-sshパッケージをアップグレードしてから、ログファイルにこれらのメッセージがあることに気付きました。

ただし、メッセージは必ずしもハッキングの試みを意味するとは思わない。いくつかのフレーズは、おそらく元の開発コードの残りとして、正当なsshクライアントにハードコードされています。たとえば、私のiOS ssh-client(iSSH)は、自分のサーバーから切断するとこのフレーズを発します。


1
[preauth]ではありません。これは特に、クライアントがサーバーに対して正常に認証されなかったことを示します。
マイケルハンプトン

1
そうです、マイケル。「通常のシャットダウン、プレイしていただきありがとうございます」というフレーズのみを参照していました。明らかに、自分のサーバーに合法的に接続すると、認証が進行します。これと類似のフレーズ(「通常のシャットダウン」)に注意を払うのは、以前はログに表示されていなかったからであり、現在は表示されているからです。sshクライアントの動作に変更はありません。
エバーン14
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.