SSH 로그에서 "정상 종료, [preauth]를 해주셔서 감사합니다"란 무엇입니까?

최근에 Logwatch의 Ubuntu 12.04 서버에 대한 내 SSH 로그 요약에 "11 : Byby Bye [preauth]"및 "11 : disconnected by 이전에 표시되었던 user "메시지

지난 몇 주 전에 로그에서이 메시지를 보지 않았으며 우분투 10.04에 붙어있는 오래된 서버에서도 보지 못했습니다. 이 메시지를 봤는데 명확한 설명을 찾을 수 없습니다.

이 메시지에 로그인하고 수신하려는 IP는 임의의 해킹 시도이며, 사전 승인으로 판단했지만 성공하지 못했다고 생각하지만이 메시지의 의미와 다른 메시지와 다른 점을 확실히 알고 싶습니다.

추가 정보 편집 : 내 서버에 비밀번호 인증과 루트 인증이 모두 비활성화되어 있습니다.

ssh 클라이언트가 "정상"연결 종료를 수행하면 메시지가 포함 된 패킷을 보냅니다. ssh 데몬이 예상하지 않은 패킷 (이 경우 사용자가 인증하기 전에)에 해당 패킷을 가져 오면 메시지를 기록합니다. (오래된 버전의 OpenSSH는이 작업을 수행하지 않았습니다.) 따라서 추측은 정확히 맞습니다. 이는 무차별 강제 ssh 암호 추측 공격의 부작용입니다. iptables에서 이들을 차단하기 위해 fail2ban 또는 sshguard와 같은 것을 실행해야합니다. 모든 것이 암호를 허용하지 않도록 올바르게 구성되었다고 생각하더라도 두 번째 방어 계층이 좋습니다.

수락 된 답변은 정확하지만 관리자가 이전에 로그 파일에서 이러한 메시지를 보지 못한 이유를 설명하는 변경 사항을 보완하기 위해이 답변을 게시 할 것이라고 생각했습니다.

이 문제는 2014 년 1 월 OpenSSH 개발자 목록에서 논의되었습니다. OpenSSH 개발자 인 Damien Miller 는

메시지는 기본적으로 영원히 존재했습니다.

1.41 (markus 02-Jan-01) : log ( "% s에서 연결이 끊어졌습니다 : % d : % .400s", ...

반-최근에 변경된 유일한 것은 더 이상 /dev/logprivsep chroot 내부가 필요하지 않도록 5.9 릴리스의 privsep 모드에서 사전 인증 메시지의 로깅을 개선했다는 것 입니다. 이전 OpenSSH 버전이 <5.9이고 /var/emptychroot에 포함되어 있지 않은 경우 /dev/log이러한 메시지가 누락되었을 수 있습니다.

최근에 서버에서 open-ssh 패키지를 업그레이드 한 이후 로그 파일에서 이러한 메시지를 발견했습니다.

그러나 메시지가 반드시 해킹 시도를 의미한다고 생각하지는 않습니다. 일부 문구는 아마도 원래 개발 코드의 잔재로 합법적 인 ssh 클라이언트로 하드 코딩됩니다. 예를 들어 내 iOS ssh-client (iSSH)는 내 서버에서 연결을 끊을 때이 문구를 내 보냅니다.