SSH 로그에서 "정상 종료, [preauth]를 해주셔서 감사합니다"란 무엇입니까?


37

최근에 Logwatch의 Ubuntu 12.04 서버에 대한 내 SSH 로그 요약에 "11 : Byby Bye [preauth]"및 "11 : disconnected by 이전에 표시되었던 user "메시지

지난 몇 주 전에 로그에서이 메시지를 보지 않았으며 우분투 10.04에 붙어있는 오래된 서버에서도 보지 못했습니다. 이 메시지를 봤는데 명확한 설명을 찾을 수 없습니다.

이 메시지에 로그인하고 수신하려는 IP는 임의의 해킹 시도이며, 사전 승인으로 판단했지만 성공하지 못했다고 생각하지만이 메시지의 의미와 다른 메시지와 다른 점을 확실히 알고 싶습니다.

추가 정보 편집 : 내 서버에 비밀번호 인증과 루트 인증이 모두 비활성화되어 있습니다.


libssh2의 어떤 버전이며 최근에 업데이트 되었습니까? 내가 아는 한, 이것은 서버가 사용자를 인증 할 수 없을 때 정상적인 종료입니다.
신경

SSH 자체에는 다음과 같은 "ssh -V"출력이 있습니다. OpenSSH_5.9p1 Debian-5ubuntu1.1, OpenSSL 1.0.1 2012 년 3 월 14 일. libssh2 버전 번호를 추적 할 위치가 확실하지 않습니다.
Dave Stern

답변:


36

ssh 클라이언트가 "정상"연결 종료를 수행하면 메시지가 포함 된 패킷을 보냅니다. ssh 데몬이 예상하지 않은 패킷 (이 경우 사용자가 인증하기 전에)에 해당 패킷을 가져 오면 메시지를 기록합니다. (오래된 버전의 OpenSSH는이 작업을 수행하지 않았습니다.) 따라서 추측은 정확히 맞습니다. 이는 무차별 강제 ssh 암호 추측 공격의 부작용입니다. iptables에서 이들을 차단하기 위해 fail2ban 또는 sshguard와 같은 것을 실행해야합니다. 모든 것이 암호를 허용하지 않도록 올바르게 구성되었다고 생각하더라도 두 번째 방어 계층이 좋습니다.


15
그런데 왜 "thank you for playing"?
Qback

7
@Qback 😂 초기 리눅스 회색 수염의 유산.
aaiezza

10

수락 된 답변은 정확하지만 관리자가 이전에 로그 파일에서 이러한 메시지를 보지 못한 이유를 설명하는 변경 사항을 보완하기 위해이 답변을 게시 할 것이라고 생각했습니다.

이 문제는 2014 년 1 월 OpenSSH 개발자 목록에서 논의되었습니다. OpenSSH 개발자 인 Damien Miller

메시지는 기본적으로 영원히 존재했습니다.

1.41 (markus 02-Jan-01) : log ( "% s에서 연결이 끊어졌습니다 : % d : % .400s", ...

반-최근에 변경된 유일한 것은 더 이상 /dev/logprivsep chroot 내부가 필요하지 않도록 5.9 릴리스의 privsep 모드에서 사전 인증 메시지의 로깅을 개선했다는 것 입니다. 이전 OpenSSH 버전이 <5.9이고 /var/emptychroot에 포함되어 있지 않은 경우 /dev/log이러한 메시지가 누락되었을 수 있습니다.


2

최근에 서버에서 open-ssh 패키지를 업그레이드 한 이후 로그 파일에서 이러한 메시지를 발견했습니다.

그러나 메시지가 반드시 해킹 시도를 의미한다고 생각하지는 않습니다. 일부 문구는 아마도 원래 개발 코드의 잔재로 합법적 인 ssh 클라이언트로 하드 코딩됩니다. 예를 들어 내 iOS ssh-client (iSSH)는 내 서버에서 연결을 끊을 때이 문구를 내 보냅니다.


1
[preauth]가 아닙니다. 이것은 특히 클라이언트가 서버에 성공적으로 인증하지 않았 음을 나타냅니다.
Michael Hampton

1
네 말이 맞아 마이클 "정상 종료, 재생 해 주셔서 감사합니다"라는 문구 만 언급했습니다. 분명히, 내가 자신의 서버에 합법적으로 연결할 때 혐오가 진행됩니다. 나는 이것과 비슷한 문구 ( 'Normal Shutdown ..')에 대한주의가 이전에 로그에 보이지 않았기 때문에 지금 생각하기 때문입니다. ssh 클라이언트의 동작에는 변화가 없습니다.
ebahn
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.