Ý nghĩa của kết nối được đóng bởi xxx [preauth] trong các bản ghi sshd

Chúng tôi có một tập lệnh bó Windows, tự động kết nối với máy chủ linux thông qua PLINK (putty). KHÔNG có xác thực khóa riêng công khai, người dùng và mật khẩu có trong tập lệnh.

Trên máy chủ linux của chúng tôi, chúng tôi có một số mục nhật ký sshd (/ var / log / message):

sshd[7645]: Connection closed by xxx [preauth]

Điều gì có thể là nguyên nhân cho một tin nhắn như vậy?
"preauth" có thể có nghĩa là "xác thực trước"?

Đôi khi trong mục, "đóng bởi" có địa chỉ IP của máy khách windows, lần khác có địa chỉ IP của máy chủ linux trong "đóng bởi". Có ai biết địa chỉ ip máy khách khác nhau và địa chỉ IP máy chủ trong tin nhắn không?

Máy sshdchủ sẽ ngắt kết nối nếu máy khách không cố xác thực trong một khoảng thời gian nhất định, như được ghi trong -gtùy chọn.

 -g login_grace_time
         Gives the grace time for clients to authenticate themselves
         (default 120 seconds).  If the client fails to authenticate
         the user within this many seconds, the server disconnects
         and exits.  A value of zero indicates no limit.

Vì vậy, tôi nghi ngờ nếu bạn thấy IP máy chủ trong nhật ký có thông báo này, kết nối đã bị đóng do không có nỗ lực xác thực nào xảy ra trong thời gian gia hạn này. Khi bạn thấy IP của máy khách, điều đó có nghĩa là người dùng đã đóng ứng dụng khách của họ (hoặc tập lệnh kết thúc) mà không thực hiện một nỗ lực xác thực.

Trong trường hợp của tôi, các thông báo này xuất hiện trong / var / log / safe khi tôi gặp Host key verification failed.lỗi ở phía máy khách ssh. Đây là một trong những trường hợp dẫn đến kết nối mà không cần đăng nhập.

Tôi đã có một vấn đề rất giống với bạn (mặc dù tôi đang sử dụng khóa chung).

Hóa ra vấn đề của tôi, và có thể là của bạn, là do thư mục chính của tôi là NFS mount và selinux (trên CentOS 7) đã đưa ra một số lỗi (khá khó theo dõi). Việc khắc phục rất đơn giản.

setsebool -P use_nfs_home_dirs 1 

Một nguồn khác của các loại tin nhắn là ssh-keyscan. Nó chỉ lấy các khóa máy chủ và ngắt kết nối mà không thực hiện bất kỳ xác thực nào.

Một nguồn của những thông báo này là https://sshcheck.com/ sẽ hiển thị điểm yếu có thể có trên máy chủ ssh của bạn.

Nó gây ra khoảng 4 trong số các tin nhắn này một cách tuần tự.

Tôi đã có cùng một vấn đề, tôi đã giải quyết nó như thế này:

Trên máy chủ ssh, tôi uncomment, và đặt tại có giá trị sau trong / etc / ssh / sshd_config

 RSAAuthentication yes
 PubkeyAuthentication yes

Và sau đó:

sudo service sshd restart

Tôi đã gặp tình huống tương tự, vì iptablesquy tắc INPUT là DROP, nhưng CHẤP NHẬN máy chủ lưu trữ có thể tìm thấy, nhưng không có quy tắciptables -I INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

Nhật ký lỗi "Nov 3 01:34:50 debian sshd[29378]: Connection closed by 10.17.64.13 [preauth]"đã được ghi vào "/var/log/auth.log"máy khách sau khi lệnh ansible all -m pingđược chạy trong máy chủ lưu trữ.

Bởi vì gói ping đã được máy khách nhận nhưng không trở về máy chủ ansible.