Significato di "Connessione chiusa da xxx [preauth]" nei registri sshd

Abbiamo uno script batch di Windows, che si collega automaticamente a un server Linux tramite PLINK (putty). Non esiste alcuna autenticazione con chiave privata pubblica, l'utente e la password sono nello script.

Sul nostro server Linux abbiamo diverse voci di registro sshd (/ var / log / messages):

sshd[7645]: Connection closed by xxx [preauth]

Quale potrebbe essere la causa di tale messaggio?
"preauth" significa probabilmente "pre-autenticazione"?

A volte nella voce "Chiuso da" ha l'indirizzo IP del client Windows, un'altra volta c'è l'indirizzo IP del server Linux in "Chiuso da". Qualcuno conosce la differenza tra l'indirizzo IP del client e l'indirizzo IP dell'host nel messaggio?

Il sshdserver si disconnetterà se il client non tenta di autenticarsi entro un determinato periodo di tempo, come documentato -gnell'opzione.

 -g login_grace_time
         Gives the grace time for clients to authenticate themselves
         (default 120 seconds).  If the client fails to authenticate
         the user within this many seconds, the server disconnects
         and exits.  A value of zero indicates no limit.

Quindi sospetto che se vedi l'IP del server nei registri con questo messaggio, la connessione è stata chiusa perché non si è verificato alcun tentativo di autenticazione entro questo periodo di tolleranza. Quando viene visualizzato l'IP client, significa che l'utente ha chiuso il client (o lo script è stato terminato) senza effettuare un tentativo di autenticazione.

Nel mio caso, questi messaggi sono apparsi in / var / log / secure quando ho riscontrato Host key verification failed.errori sul lato client SSH. Questo è uno dei casi che comporterebbe una connessione senza un tentativo di accesso.

Ho avuto un problema molto simile al tuo (anche se stavo usando la chiave pubblica).

Si scopre che il mio problema, e forse il tuo, è stato causato perché la mia directory home era un mount NFS e selinux (su CentOS 7) stava generando alcuni errori (che erano abbastanza difficili da rintracciare). La correzione era semplice però.

setsebool -P use_nfs_home_dirs 1 

Un'altra fonte di questo tipo di messaggi è ssh-keyscan. Cattura semplicemente le chiavi host del server e si disconnette senza effettuare alcuna autenticazione.

Una fonte di questi messaggi è https://sshcheck.com/ che mostra possibili punti deboli sul tuo server SSH.

Causa circa 4 di questi messaggi in sequenza.

Ho avuto lo stesso problema, l'ho risolto in questo modo:

Sul server ssh, ho decommentato, e ho messo a yes i seguenti valori in / etc / ssh / sshd_config

 RSAAuthentication yes
 PubkeyAuthentication yes

E poi:

sudo service sshd restart

Ho incontrato la stessa situazione, a causa della iptablesregola INPUT era DROP, ma ACCETTO l'host ansible, ma non ci sono regoleiptables -I INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

Il log degli errori è "Nov 3 01:34:50 debian sshd[29378]: Connection closed by 10.17.64.13 [preauth]"stato scritto "/var/log/auth.log"sul computer client dopo l' ansible all -m pingesecuzione del comando nell'host ansible.

Perché il pacchetto ping aveva ricevuto dal client ma non tornava all'host ansible.