Significato di "Connessione chiusa da xxx [preauth]" nei registri sshd


54

Abbiamo uno script batch di Windows, che si collega automaticamente a un server Linux tramite PLINK (putty). Non esiste alcuna autenticazione con chiave privata pubblica, l'utente e la password sono nello script.

Sul nostro server Linux abbiamo diverse voci di registro sshd (/ var / log / messages):

sshd[7645]: Connection closed by xxx [preauth]

Quale potrebbe essere la causa di tale messaggio?
"preauth" significa probabilmente "pre-autenticazione"?

A volte nella voce "Chiuso da" ha l'indirizzo IP del client Windows, un'altra volta c'è l'indirizzo IP del server Linux in "Chiuso da". Qualcuno conosce la differenza tra l'indirizzo IP del client e l'indirizzo IP dell'host nel messaggio?


Se osservato in /usr/local/sbin/sshd -D -e, possibile soluzione alternativa: serverfault.com/a/211176
Ivan Chau

Sto riscontrando lo stesso problema e nel mio caso l'ho ridotto al fatto che la stessa chiave funziona da una shell Ubuntu su un Ubuntu reale in esecuzione come una VM e non dall'ubuntu incorporato in Windows 10 (sottosistema AKA Windows Linux) . Non ho ancora capito perché, ma forse questo aiuta ancora qualcuno
Jens Kisters il

Verifica /var/log/securecon LogLevel DEBUG3in/etc/ssh/sshd_config
Ivan Chau,

Risposte:


24

Il sshdserver si disconnetterà se il client non tenta di autenticarsi entro un determinato periodo di tempo, come documentato -gnell'opzione.

 -g login_grace_time
         Gives the grace time for clients to authenticate themselves
         (default 120 seconds).  If the client fails to authenticate
         the user within this many seconds, the server disconnects
         and exits.  A value of zero indicates no limit.

Quindi sospetto che se vedi l'IP del server nei registri con questo messaggio, la connessione è stata chiusa perché non si è verificato alcun tentativo di autenticazione entro questo periodo di tolleranza. Quando viene visualizzato l'IP client, significa che l'utente ha chiuso il client (o lo script è stato terminato) senza effettuare un tentativo di autenticazione.


Può essere causato, ad esempio, dalla scansione di nmap?
Qback

Di solito si tratta di tentativi di hacking. Vedo molto dalla Cina, dalla Russia, dal Giappone, ecc.
jjxtra,

3
Se l'indirizzo IP nel messaggio è l'indirizzo IP del client, potrebbe indicare che il client sta tentando di autenticarsi con la passphrase errata per la propria chiave privata. Il loro client non riesce quindi a decodificare la chiave e si disconnette senza tentare l'autenticazione.
Codice comandante

7

Nel mio caso, questi messaggi sono apparsi in / var / log / secure quando ho riscontrato Host key verification failed.errori sul lato client SSH. Questo è uno dei casi che comporterebbe una connessione senza un tentativo di accesso.


4

Ho avuto un problema molto simile al tuo (anche se stavo usando la chiave pubblica).

Si scopre che il mio problema, e forse il tuo, è stato causato perché la mia directory home era un mount NFS e selinux (su CentOS 7) stava generando alcuni errori (che erano abbastanza difficili da rintracciare). La correzione era semplice però.

setsebool -P use_nfs_home_dirs 1 

2

Un'altra fonte di questo tipo di messaggi è ssh-keyscan. Cattura semplicemente le chiavi host del server e si disconnette senza effettuare alcuna autenticazione.



1

Ho avuto lo stesso problema, l'ho risolto in questo modo:

Sul server ssh, ho decommentato, e ho messo a yes i seguenti valori in / etc / ssh / sshd_config

 RSAAuthentication yes
 PubkeyAuthentication yes

E poi:

sudo service sshd restart

0

Ho incontrato la stessa situazione, a causa della iptablesregola INPUT era DROP, ma ACCETTO l'host ansible, ma non ci sono regoleiptables -I INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

Il log degli errori è "Nov 3 01:34:50 debian sshd[29378]: Connection closed by 10.17.64.13 [preauth]"stato scritto "/var/log/auth.log"sul computer client dopo l' ansible all -m pingesecuzione del comando nell'host ansible.

Perché il pacchetto ping aveva ricevuto dal client ma non tornava all'host ansible.

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.