sshdログの「接続がxxx [preauth]によって閉じられました」の意味

PLINK（putty）を介してLinuxサーバーに自動的に接続するWindowsバッチスクリプトがあります。公開秘密鍵認証はありません。ユーザーとパスワードはスクリプトに含まれています。

Linuxサーバーには、いくつかのsshdログエントリ（/ var / log / messages）があります。

sshd[7645]: Connection closed by xxx [preauth]

そのようなメッセージの原因は何でしょうか？
「preauth」はおそらく「pre authentication」を意味しますか？

エントリでは、「closed by」にWindowsクライアントのIPアドレスが含まれている場合があります。また、「closed by」にLinuxサーバーのIPアドレスがある場合もあります。メッセージ内のクライアントIPアドレスとホストIPアドレスの違いを知っている人はいますか？

sshdクライアントがに記載されているように、一定の期間に認証を試行していない場合、サーバーが切断されます-gオプション。

 -g login_grace_time
         Gives the grace time for clients to authenticate themselves
         (default 120 seconds).  If the client fails to authenticate
         the user within this many seconds, the server disconnects
         and exits.  A value of zero indicates no limit.

したがって、このメッセージが含まれるログにサーバーIPが表示される場合、この猶予時間内に認証の試行が行われなかったため、接続が閉じられたと思われます。クライアントIPが表示される場合、ユーザーが認証を試みずにクライアントを閉じた（またはスクリプトを終了した）ことを意味します。

私の場合、これらのメッセージHost key verification failed.は、sshクライアント側でエラーが発生したときに/ var / log / secureに表示されました。これは、ログインを試行せずに接続するケースの1つです。

私はあなたと非常によく似た問題を抱えていました（公開鍵を使用していました）。

私の問題、そしておそらくあなたの問題は、私のホームディレクトリがNFSマウントであり、selinux（CentOS 7上）がいくつかのエラーを投げ出したことが原因であることが判明しました（追跡するのは非常に困難でした）。ただし、修正は簡単でした。

setsebool -P use_nfs_home_dirs 1 

これらの種類のメッセージの別のソースはssh-keyscanです。サーバーのホストキーを取得し、認証なしで切断します。

これらのメッセージのソースの1つはhttps://sshcheck.com/です。これは、sshサーバーに潜在的な脆弱性を表示します。

これらのメッセージのうち約4つが順番に発生します。

私は同じ問題を抱えていました、私はこのようにそれを解決しました：

sshサーバーで、コメントを外し、/ etc / ssh / sshd_configに次の値をyesに設定しました

 RSAAuthentication yes
 PubkeyAuthentication yes

その後：

sudo service sshd restart

iptablesINPUTルールがDROPであったため、同じ状況に遭遇しましたが、ansibleホストを受け入れますが、ルールはありませんiptables -I INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

エラーログ"Nov 3 01:34:50 debian sshd[29378]: Connection closed by 10.17.64.13 [preauth]"は"/var/log/auth.log"、コマンドansible all -m pingがansibleホストで実行された後、クライアントマシンに書き込まれました。

pingパケットはクライアントによって受信されたが、無効なホストに返されなかったためです。