Cosa significa "Spegnimento normale, grazie per aver suonato [preauth]" nei registri SSH?

Recentemente, i riepiloghi dei miei registri SSH per i miei server Ubuntu 12.04 in Logwatch hanno iniziato a mostrare voci per "11: Arresto normale, grazie per aver giocato [preauth]" insieme a "11: Bye Bye [preauth]" e "11: disconnected by utente "che stavano mostrando in precedenza.

Non ho visto questo messaggio nei miei registri prima delle ultime settimane, né l'ho visto sui miei server più vecchi che sono bloccati su Ubuntu 10.04. Ho cercato su Google questo messaggio e non riesco a trovare spiegazioni chiare neanche lì.

Gli IP che tentano di accedere e di ricevere questo messaggio sono tentativi di hacking casuali e, a giudicare dalla predizione, presumo (spero) non abbiano successo, ma vorrei essere sicuro di cosa significhi esattamente questo messaggio e di come differisca dagli altri.

EDIT per ulteriori informazioni: i miei server hanno l'autenticazione con password e l'autenticazione root entrambe disabilitate

Quando il client ssh esegue una chiusura "normale" della connessione, invia un pacchetto con un messaggio al suo interno. Quando il demone ssh ottiene un tale pacchetto quando non se lo aspetta - in questo caso, prima che l'utente riesca ad autenticarsi - registra il messaggio. (Le versioni precedenti di OpenSSH non lo facevano.) Quindi la tua ipotesi è esattamente corretta: è un effetto collaterale di un attacco di indovinare password ssh a forza bruta. Probabilmente dovresti eseguire qualcosa come fail2ban o sshguard per bloccarli in iptables; anche se pensi che tutto sia configurato correttamente per non consentire le password, è bene avere un secondo livello di difesa.

La risposta accettata è corretta, ma ho pensato di pubblicare questa risposta per completarla con un motivo per il cambiamento che spiega perché gli amministratori non avevano precedentemente visto tali messaggi nei loro file di registro.

Questo problema è stato discusso nell'elenco degli sviluppatori di OpenSSH nel gennaio 2014. Secondo Damien Miller, sviluppatore di OpenSSH ,

Il messaggio è stato lì praticamente per sempre:

1.41 (markus 02-Jan-01): log ("Disconnect ricevuto da% s:% d:% .400s", ...

L'unica cosa che è cambiata semi-recentemente è che abbiamo migliorato la registrazione dei messaggi di preautenticazione in modalità privsep nella versione 5.9 per non aver più bisogno di un /dev/logchroot interno. Se la tua vecchia versione di OpenSSH era <5.9 e il /var/emptychroot non ne conteneva una /dev/log, allora potresti aver perso questi messaggi.

Anch'io ho notato questi messaggi nei miei file di registro da quando ho recentemente aggiornato il pacchetto open-ssh sui miei server.

Tuttavia, non penso che i messaggi implicino necessariamente tentativi di hacking. Alcune delle frasi sono codificate in client SSH legittimi, presumibilmente come resti del codice di sviluppo originale. Il mio client ssh iOS (iSSH), ad esempio, emette questa frase quando mi disconnetto dai miei server.