Cosa significa "Spegnimento normale, grazie per aver suonato [preauth]" nei registri SSH?


37

Recentemente, i riepiloghi dei miei registri SSH per i miei server Ubuntu 12.04 in Logwatch hanno iniziato a mostrare voci per "11: Arresto normale, grazie per aver giocato [preauth]" insieme a "11: Bye Bye [preauth]" e "11: disconnected by utente "che stavano mostrando in precedenza.

Non ho visto questo messaggio nei miei registri prima delle ultime settimane, né l'ho visto sui miei server più vecchi che sono bloccati su Ubuntu 10.04. Ho cercato su Google questo messaggio e non riesco a trovare spiegazioni chiare neanche lì.

Gli IP che tentano di accedere e di ricevere questo messaggio sono tentativi di hacking casuali e, a giudicare dalla predizione, presumo (spero) non abbiano successo, ma vorrei essere sicuro di cosa significhi esattamente questo messaggio e di come differisca dagli altri.

EDIT per ulteriori informazioni: i miei server hanno l'autenticazione con password e l'autenticazione root entrambe disabilitate


Quale versione di libssh2 ed è stata recentemente aggiornata? Per quanto ne so, questa è solo una normale conclusione quando il server non è in grado di autorizzare l'utente.
nervo

SSH stesso ha il seguente output "ssh -V": OpenSSH_5.9p1 Debian-5ubuntu1.1, OpenSSL 1.0.1 14 marzo 2012. Non sono sicuro di dove rintracciare il numero di versione di libssh2.
Dave Stern,

Risposte:


36

Quando il client ssh esegue una chiusura "normale" della connessione, invia un pacchetto con un messaggio al suo interno. Quando il demone ssh ottiene un tale pacchetto quando non se lo aspetta - in questo caso, prima che l'utente riesca ad autenticarsi - registra il messaggio. (Le versioni precedenti di OpenSSH non lo facevano.) Quindi la tua ipotesi è esattamente corretta: è un effetto collaterale di un attacco di indovinare password ssh a forza bruta. Probabilmente dovresti eseguire qualcosa come fail2ban o sshguard per bloccarli in iptables; anche se pensi che tutto sia configurato correttamente per non consentire le password, è bene avere un secondo livello di difesa.


15
Ma perchè "thank you for playing"?
Qback

7
@Qback 😂 Snark legacy dalle prime barbe grigie di Linux.
aaiezza,

10

La risposta accettata è corretta, ma ho pensato di pubblicare questa risposta per completarla con un motivo per il cambiamento che spiega perché gli amministratori non avevano precedentemente visto tali messaggi nei loro file di registro.

Questo problema è stato discusso nell'elenco degli sviluppatori di OpenSSH nel gennaio 2014. Secondo Damien Miller, sviluppatore di OpenSSH ,

Il messaggio è stato lì praticamente per sempre:

1.41 (markus 02-Jan-01): log ("Disconnect ricevuto da% s:% d:% .400s", ...

L'unica cosa che è cambiata semi-recentemente è che abbiamo migliorato la registrazione dei messaggi di preautenticazione in modalità privsep nella versione 5.9 per non aver più bisogno di un /dev/logchroot interno. Se la tua vecchia versione di OpenSSH era <5.9 e il /var/emptychroot non ne conteneva una /dev/log, allora potresti aver perso questi messaggi.


2

Anch'io ho notato questi messaggi nei miei file di registro da quando ho recentemente aggiornato il pacchetto open-ssh sui miei server.

Tuttavia, non penso che i messaggi implicino necessariamente tentativi di hacking. Alcune delle frasi sono codificate in client SSH legittimi, presumibilmente come resti del codice di sviluppo originale. Il mio client ssh iOS (iSSH), ad esempio, emette questa frase quando mi disconnetto dai miei server.


1
Non con [preauth]. Ciò indica specificamente che il client non è stato autenticato correttamente sul server.
Michael Hampton

1
Hai ragione, Michael. Mi riferivo solo alla frase "Spegnimento normale, grazie per aver giocato". Ovviamente, quando mi connetto legittimamente al mio server, procede la procedura di autenticazione. Penso che l'attenzione su questa e altre frasi simili ("Spegnimento normale ...") sia perché in precedenza non erano visibili nei registri, e ora lo sono. Non ci sono cambiamenti nel comportamento del client ssh.
autostrada
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.