Was bedeutet "Normales Herunterfahren, danke, dass Sie [preauth] gespielt haben" in SSH-Protokollen?

37

Kürzlich wurden in meinen SSH-Protokollzusammenfassungen für meine Ubuntu 12.04-Server in Logwatch Einträge für "11: Normal Shutdown, Vielen Dank für das Spielen von [preauth]" zusammen mit "11: Bye Bye [preauth]" und "11: disconnected by" angezeigt Benutzer "Nachrichten, die sie zuvor gezeigt hatten.

Ich habe diese Meldung in den letzten Wochen weder in meinen Protokollen noch auf meinen älteren Servern gesehen, die unter Ubuntu 10.04 nicht mehr funktionieren. Ich habe diese Nachricht gegoogelt und kann dort auch keine eindeutigen Erklärungen finden.

Die IPs, die versuchen, sich einzuloggen und diese Nachricht zu empfangen, sind zufällige Hackversuche. Ich gehe davon aus, dass sie nicht erfolgreich sind, aber ich möchte genau wissen, was diese Nachricht bedeutet und wie sie sich von anderen unterscheidet, um sicherzugehen.

BEARBEITEN für zusätzliche Informationen: Auf meinen Servern sind die Kennwortauthentifizierung und die Stammauthentifizierung deaktiviert

Dave Stern
quelle
Welche Version von libssh2 und wurde sie kürzlich aktualisiert? Soweit ich weiß, ist dies nur eine normale Beendigung, wenn der Server den Benutzer nicht authentifizieren kann.
Nerv
SSH selbst hat die folgende Ausgabe "ssh -V": OpenSSH_5.9p1 Debian-5ubuntu1.1, OpenSSL 1.0.1 14. März 2012. Ich bin nicht sicher, wo ich die Versionsnummer von libssh2 finden soll.
Dave Stern

Antworten:

36

Wenn der ssh-Client eine "normale" Verbindungsunterbrechung durchführt, sendet er ein Paket mit einer Nachricht darin. Wenn der ssh-Dämon ein solches Paket erhält, wenn er es nicht erwartet - in diesem Fall, bevor der Benutzer sich authentifizieren konnte -, protokolliert er die Nachricht. (Ältere Versionen von OpenSSH haben dies nicht getan.) Ihre Vermutung ist also genau richtig: Es ist ein Nebeneffekt eines Brute-Force-SSH-Angriffs zum Erraten von Passwörtern. Sie sollten wahrscheinlich so etwas wie fail2ban oder sshguard ausführen, um diese in iptables zu blockieren. Selbst wenn Sie der Meinung sind, dass alles so konfiguriert ist, dass Passwörter nicht zugelassen werden, ist eine zweite Verteidigungsstufe sinnvoll.

Garrett Wollman
quelle
15
Aber warum "thank you for playing"?
Qback
7
@ Qback 😂 Legacy-Snark von frühen grauen Linux-Bärten.
Aaiezza
10

Die akzeptierte Antwort ist korrekt, aber ich dachte, ich würde diese Antwort veröffentlichen, um sie mit einem Grund für die Änderung zu ergänzen, der erklärt, warum Administratoren solche Nachrichten zuvor nicht in ihren Protokolldateien gesehen haben.

Dieses Problem wurde im Januar 2014 auf der OpenSSH-Entwicklerliste diskutiert. Laut Damien Miller, OpenSSH-Entwickler ,

Die Botschaft war im Grunde schon immer da:

1.41 (markus 02-Jan-01): log ("Verbindungstrennung von% s erhalten:% d:% .400s", ...

Das Einzige, was sich in letzter Zeit geändert hat, ist, dass die Protokollierung von Vorauthentifizierungsnachrichten im PrivSEP-Modus in Version 5.9 verbessert wurde, sodass keine /dev/loginterne PrivSEP-Chroot mehr erforderlich ist . Wenn Ihre alte OpenSSH-Version <5.9 war und die /var/emptyChroot keine enthielt, haben /dev/logSie möglicherweise diese Nachrichten verpasst.

Anthony G - Gerechtigkeit für Monica
quelle
2

Diese Meldungen sind mir auch in meinen Protokolldateien aufgefallen, seit ich kürzlich das open-ssh-Paket auf meinen Servern aktualisiert habe.

Ich denke jedoch nicht, dass die Nachrichten notwendigerweise Hackversuche beinhalten. Einige der Phrasen sind in legitimen ssh-Clients fest codiert, vermutlich als Überbleibsel aus dem ursprünglichen Entwicklungscode. Mein iOS-SSH-Client (iSSH) gibt diesen Satz beispielsweise aus, wenn ich die Verbindung zu meinen eigenen Servern trenne.

ebahn
quelle
1
Nicht bei [preauth]. Dies weist speziell darauf hin, dass sich der Client nicht erfolgreich beim Server authentifiziert hat.
Michael Hampton
1
Du hast recht, Michael. Ich bezog mich nur auf die Phrase "Normales Herunterfahren, danke für das Spielen". Offensichtlich wird die Authentifizierung fortgesetzt, wenn ich eine legitime Verbindung zu meinem eigenen Server herstelle. Ich denke, die Aufmerksamkeit auf diese und ähnliche Ausdrücke ('Normal Shutdown ..') liegt darin, dass sie zuvor in den Protokollen nicht sichtbar waren und jetzt sind. Das Verhalten des ssh-Clients ändert sich nicht.
Ebahn