Ý nghĩa của kết nối được đóng bởi xxx [preauth] trong các bản ghi sshd


54

Chúng tôi có một tập lệnh bó Windows, tự động kết nối với máy chủ linux thông qua PLINK (putty). KHÔNG có xác thực khóa riêng công khai, người dùng và mật khẩu có trong tập lệnh.

Trên máy chủ linux của chúng tôi, chúng tôi có một số mục nhật ký sshd (/ var / log / message):

sshd[7645]: Connection closed by xxx [preauth]

Điều gì có thể là nguyên nhân cho một tin nhắn như vậy?
"preauth" có thể có nghĩa là "xác thực trước"?

Đôi khi trong mục, "đóng bởi" có địa chỉ IP của máy khách windows, lần khác có địa chỉ IP của máy chủ linux trong "đóng bởi". Có ai biết địa chỉ ip máy khách khác nhau và địa chỉ IP máy chủ trong tin nhắn không?


Khi quan sát /usr/local/sbin/sshd -D -e, cách giải quyết có thể có: serverfault.com/a/211176
Ivan Chau

Tôi đang gặp vấn đề tương tự và trong trường hợp của tôi, tôi đã thu hẹp nó xuống thực tế là cùng một khóa hoạt động từ một vỏ ubfox trên một ubfox thực sự chạy như một VM chứ không phải từ ubfox được nhúng vào Windows 10 (AKA Windows Linux Subystem) . Chưa tìm ra lý do tại sao, nhưng có lẽ điều này vẫn giúp được ai đó
Jens Kisters

Kiểm tra /var/log/securevới LogLevel DEBUG3trong/etc/ssh/sshd_config
Ivan Châu

Câu trả lời:


24

Máy sshdchủ sẽ ngắt kết nối nếu máy khách không cố xác thực trong một khoảng thời gian nhất định, như được ghi trong -gtùy chọn.

 -g login_grace_time
         Gives the grace time for clients to authenticate themselves
         (default 120 seconds).  If the client fails to authenticate
         the user within this many seconds, the server disconnects
         and exits.  A value of zero indicates no limit.

Vì vậy, tôi nghi ngờ nếu bạn thấy IP máy chủ trong nhật ký có thông báo này, kết nối đã bị đóng do không có nỗ lực xác thực nào xảy ra trong thời gian gia hạn này. Khi bạn thấy IP của máy khách, điều đó có nghĩa là người dùng đã đóng ứng dụng khách của họ (hoặc tập lệnh kết thúc) mà không thực hiện một nỗ lực xác thực.


Nó có thể được gây ra bởi ví dụ quét nmap?
Qback

Đây thường là nỗ lực hack. Tôi thấy rất nhiều từ Trung Quốc, Nga, Nhật Bản, v.v.
jjxtra

3
Nếu địa chỉ IP trong tin nhắn là địa chỉ IP của khách hàng, điều đó có thể cho thấy khách hàng đang cố xác thực bằng cụm mật khẩu không chính xác cho khóa riêng của họ. Khách hàng của họ sau đó không giải mã được khóa và ngắt kết nối mà không thử xác thực.
Chỉ huy mã

7

Trong trường hợp của tôi, các thông báo này xuất hiện trong / var / log / safe khi tôi gặp Host key verification failed.lỗi ở phía máy khách ssh. Đây là một trong những trường hợp dẫn đến kết nối mà không cần đăng nhập.


4

Tôi đã có một vấn đề rất giống với bạn (mặc dù tôi đang sử dụng khóa chung).

Hóa ra vấn đề của tôi, và có thể là của bạn, là do thư mục chính của tôi là NFS mount và selinux (trên CentOS 7) đã đưa ra một số lỗi (khá khó theo dõi). Việc khắc phục rất đơn giản.

setsebool -P use_nfs_home_dirs 1 

2

Một nguồn khác của các loại tin nhắn là ssh-keyscan. Nó chỉ lấy các khóa máy chủ và ngắt kết nối mà không thực hiện bất kỳ xác thực nào.


2

Một nguồn của những thông báo này là https://sshcheck.com/ sẽ hiển thị điểm yếu có thể có trên máy chủ ssh của bạn.

Nó gây ra khoảng 4 trong số các tin nhắn này một cách tuần tự.


1

Tôi đã có cùng một vấn đề, tôi đã giải quyết nó như thế này:

Trên máy chủ ssh, tôi uncomment, và đặt tại giá trị sau trong / etc / ssh / sshd_config

 RSAAuthentication yes
 PubkeyAuthentication yes

Và sau đó:

sudo service sshd restart

0

Tôi đã gặp tình huống tương tự, vì iptablesquy tắc INPUT là DROP, nhưng CHẤP NHẬN máy chủ lưu trữ có thể tìm thấy, nhưng không có quy tắciptables -I INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

Nhật ký lỗi "Nov 3 01:34:50 debian sshd[29378]: Connection closed by 10.17.64.13 [preauth]"đã được ghi vào "/var/log/auth.log"máy khách sau khi lệnh ansible all -m pingđược chạy trong máy chủ lưu trữ.

Bởi vì gói ping đã được máy khách nhận nhưng không trở về máy chủ ansible.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.