Tắt máy bình thường, cảm ơn bạn vì đã chơi [preauth] Nhật ký trong bản ghi SSH có nghĩa là gì?

Gần đây, bản tóm tắt nhật ký SSH của tôi cho các máy chủ Ubuntu 12.04 của tôi trong Logwatch đã bắt đầu hiển thị các mục cho "11: Tắt máy bình thường, Cảm ơn bạn đã chơi [preauth]" cùng với "11: Bye Bye [preauth]" và "11: bị ngắt kết nối bởi người dùng "tin nhắn họ đã được hiển thị trước đó.

Tôi đã không thấy thông báo này trong nhật ký của mình trước vài tuần qua, tôi cũng không thấy tin nhắn này trên các máy chủ cũ bị kẹt trên Ubuntu 10.04. Tôi đã googled tin nhắn này và không thể tìm thấy bất kỳ lời giải thích rõ ràng nào ở đó.

Các IP cố gắng đăng nhập và nhận tin nhắn này là các nỗ lực hack ngẫu nhiên và đánh giá từ preauth tôi cho rằng (hy vọng) chúng không thành công, nhưng tôi muốn biết chính xác thông điệp này có ý nghĩa gì và chắc chắn nó khác với những người khác như thế nào.

EDIT để biết thêm thông tin: Máy chủ của tôi có xác thực mật khẩu và xác thực gốc đều bị vô hiệu hóa

Khi máy khách ssh thực hiện tắt kết nối "bình thường", nó sẽ gửi một gói có thông báo trong đó. Khi ssh daemon nhận được một gói như vậy khi nó không mong đợi nó - trong trường hợp này, trước khi người dùng quản lý để xác thực - nó sẽ ghi lại thông báo. (Các phiên bản cũ hơn của OpenSSH đã không làm điều này.) Vì vậy, sự phỏng đoán của bạn là hoàn toàn chính xác: đó là tác dụng phụ của một cuộc tấn công đoán mật khẩu ssh của lực lượng vũ phu. Bạn có thể nên chạy một cái gì đó như fail2ban hoặc sshguard để chặn những thứ này trong iptables; ngay cả khi bạn nghĩ rằng mọi thứ được cấu hình chính xác để không cho phép mật khẩu, thì cũng nên có lớp bảo vệ thứ hai.

Câu trả lời được chấp nhận là chính xác nhưng tôi nghĩ rằng tôi đã đăng câu trả lời này để bổ sung cho lý do thay đổi giải thích lý do tại sao quản trị viên trước đây không thấy các tin nhắn như vậy trong tệp nhật ký của họ.

Vấn đề này đã được thảo luận trong danh sách nhà phát triển OpenSSH vào tháng 1 năm 2014. Theo Damien Miller, nhà phát triển OpenSSH ,

Thông điệp đã ở đó về cơ bản mãi mãi:

1.41 (markus 02-Jan-01): log ("Đã ngắt kết nối từ% s:% d:% .400s", ...

Điều duy nhất đã thay đổi nửa gần đây là chúng tôi đã cải thiện việc ghi nhật ký các thông báo xác nhận trước ở chế độ riêng tư trong bản phát hành 5.9 để không còn cần phải có /dev/lognội dung riêng tư. Nếu phiên bản OpenSSH cũ của bạn là <5,9 và /var/emptychroot không có /dev/logtrong đó thì có thể bạn đã bỏ lỡ những tin nhắn này.

Tôi cũng đã nhận thấy những thông báo này trong các tệp nhật ký của mình vì gần đây đã nâng cấp gói open-ssh trên các máy chủ của tôi.

Tuy nhiên, tôi không nghĩ rằng các tin nhắn nhất thiết ngụ ý các nỗ lực hack. Một số cụm từ được mã hóa cứng thành các máy khách ssh hợp pháp, có lẽ là tàn dư từ mã phát triển ban đầu. Chẳng hạn, ứng dụng ssh-client iOS (iSSH) của tôi phát ra cụm từ này khi tôi ngắt kết nối với máy chủ của chính mình.