Znaczenie „Połączenie zamknięte przez xxx [preauth]” w logach sshd

54

Mamy skrypt wsadowy dla systemu Windows, który automatycznie łączy się z serwerem Linux za pomocą PLINK (putty). Nie ma uwierzytelnienia publicznego klucza prywatnego, użytkownik i hasło są w skrypcie.

Na naszym serwerze linux mamy kilka wpisów w dzienniku sshd (/ var / log / messages):

sshd[7645]: Connection closed by xxx [preauth]

Co może być przyczyną takiej wiadomości?
„preauth” prawdopodobnie oznacza „wstępne uwierzytelnienie”?

Czasami we wpisie „zamknięty przez” ma adres IP klienta Windows, innym razem jest adres IP serwera linuksowego w „zamknięty przez”. Czy ktoś zna różnicę między adresem IP klienta a adresem IP hosta w wiadomości?

ssh logs authentication Wolfgang Adamec
źródło
W przypadku zaobserwowania w /usr/local/sbin/sshd -D -e, możliwe obejście: serverfault.com/a/211176
Ivan Chau
Mam ten sam problem i w moim przypadku zawęziłem go do faktu, że ten sam klucz działa z powłoki ubuntu na prawdziwym ubuntu działającym jako maszyna wirtualna, a nie z ubuntu osadzonego w systemie Windows 10 (AKA Windows Linux Subsystem) . Nie wiem jeszcze, dlaczego, ale może to komuś pomaga
Jens Kisters
Sprawdzić /var/log/securez LogLevel DEBUG3w/etc/ssh/sshd_config
Ivan Chau

Odpowiedzi:

24

sshdSerwer rozłączy, jeśli klient nie próbuje uwierzytelnić w pewnym okresie czasu, co zostało udokumentowane w -gopcji.

 -g login_grace_time
         Gives the grace time for clients to authenticate themselves
         (default 120 seconds).  If the client fails to authenticate
         the user within this many seconds, the server disconnects
         and exits.  A value of zero indicates no limit.

Podejrzewam więc, że jeśli zobaczysz adres IP serwera w dziennikach z tym komunikatem, połączenie zostało zamknięte, ponieważ w tym czasie karencji nie podjęto próby uwierzytelnienia. Gdy zobaczysz adres IP klienta, oznacza to, że użytkownik zamknął klienta (lub skrypt został zakończony) bez próby uwierzytelnienia.

oeuftete
źródło
Czy może to być spowodowane np. Skanowaniem nmap?
Qback
Zazwyczaj są to próby włamania. Dużo widzę z Chin, Rosji, Japonii itp.
jjxtra,
3
Jeśli adres IP w wiadomości jest adresem IP klienta, może to oznaczać, że klient próbuje się uwierzytelnić przy użyciu niepoprawnego hasła dla swojego klucza prywatnego. Ich klient następnie nie dekoduje klucza i rozłącza się bez próby uwierzytelnienia.
Code Commander
7

W moim przypadku komunikaty te pojawiły się w Host key verification failed.katalogu / var / log / secure, gdy wystąpiły błędy po stronie klienta ssh. Jest to jeden z przypadków, które spowodowałyby połączenie bez próby logowania.

pcronin
źródło
4

Miałem bardzo podobny problem do twojego (chociaż korzystałem z klucza publicznego).

Okazuje się, że mój problem, i prawdopodobnie twój, został spowodowany, ponieważ mój katalog domowy był podłączeniem do NFS, a selinux (na CentOS 7) zgłaszał pewne błędy (które były dość trudne do wyśledzenia). Poprawka była jednak prosta.

setsebool -P use_nfs_home_dirs 1
Szymon
źródło
2

Innym źródłem tego rodzaju wiadomości jest ssh-keyscan. Po prostu pobiera klucze hosta serwera i rozłącza się bez uwierzytelniania.

x-yuri
źródło
2

Jednym ze źródeł tych wiadomości jest https://sshcheck.com/, który pokazuje możliwe słabości na twoim serwerze ssh.

Powoduje sekwencję około 4 takich komunikatów.

Daniel F.
źródło
1

Miałem ten sam problem, rozwiązałem go w następujący sposób:

Na serwerze ssh odkomentowałem i ustawiłem na tak następujące wartości w / etc / ssh / sshd_config

 RSAAuthentication yes
 PubkeyAuthentication yes

I wtedy:

sudo service sshd restart
matowy
źródło
0

Spotkałem się z tą samą sytuacją, ponieważ iptablesreguła INPUT to DROP, ale AKCEPTUJĘ host ansible, ale nie ma tej regułyiptables -I INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

Dziennik błędów "Nov 3 01:34:50 debian sshd[29378]: Connection closed by 10.17.64.13 [preauth]"został zapisany "/var/log/auth.log"na komputerze klienta po uruchomieniu polecenia ansible all -m pingna hoście ansible.

Ponieważ pakiet ping otrzymał klient, ale nie wrócił do hosta ansible.

VictorLee
źródło