SSHログで「通常のシャットダウン、[preauth]をプレイしていただきありがとうございます」とはどういう意味ですか？

最近、LogwatchのUbuntu 12.04サーバーのSSHログの概要に、「11：Bye Bye [preauth]」および「11：切断者」とともに「11：Normal Shutdown、Thank you for [preauth]」のエントリが表示され始めました。以前に表示していたユーザー」メッセージ。

過去数週間前にログでこのメッセージを見たことがありませんし、Ubuntu 10.04でスタックしている古いサーバーでも見ませんでした。このメッセージをグーグルで検索しましたが、明確な説明も見つかりません。

ログインしてこのメ​​ッセージを受信しようとするIPはランダムなハックの試みであり、事前認証から判断すると、それらは成功しないと思います（希望）が、このメッセージの意味と他のユーザーとの違いを確実に知りたいと思います。

追加情報の編集：サーバーでパスワード認証とルート認証の両方が無効になっています

sshクライアントが「通常の」接続シャットダウンを行うと、メッセージを含むパケットを送信します。sshデーモンは、予期しないときにこのようなパケットを取得すると（この場合、ユーザーが認証する前に）メッセージを記録します。（古いバージョンのOpenSSHはこれを行いませんでした。）あなたの推測は正確です。これは、ブルートフォースのsshパスワード推測攻撃の副作用です。iptablesでこれらをブロックするには、おそらくfail2banやsshguardなどを実行する必要があります。パスワードが許可されないようにすべてが正しく構成されていると思われる場合でも、第2層の防御が必要です。

受け入れられた答えは正しいですが、ログファイルに管理者が以前にそのようなメッセージを表示しなかった理由を説明する変更の理由で補足するために、この答えを投稿すると思いました。

この問題は、2014年1月にOpenSSH開発者リストで議論されました。OpenSSH開発者のDamien Miller氏によると、

メッセージは基本的に永遠に存在しています：

1.41（markus 02-Jan-01）：log（ "％sからの切断を受信しました：％d：％.400s"、...

半最近変更された唯一のことは、5.9リリースのprivsepモードでの事前認証メッセージのロギングを改善し/dev/log、privsep chroot内が不要になったことです。古いOpenSSHバージョンが5.9未満で、/var/emptychrootに含まれていなかった場合、/dev/logこれらのメッセージが欠落している可能性があります。

最近、サーバー上のopen-sshパッケージをアップグレードしてから、ログファイルにこれらのメッセージがあることに気付きました。

ただし、メッセージは必ずしもハッキングの試みを意味するとは思わない。いくつかのフレーズは、おそらく元の開発コードの残りとして、正当なsshクライアントにハードコードされています。たとえば、私のiOS ssh-client（iSSH）は、自分のサーバーから切断するとこのフレーズを発します。