“ Shutdown ปกติขอบคุณสำหรับการเล่น [preauth]” ในบันทึก SSH หมายถึงอะไร

37

เมื่อเร็ว ๆ นี้สรุปบันทึก SSH ของฉันสำหรับเซิร์ฟเวอร์ Ubuntu 12.04 ใน Logwatch ได้เริ่มแสดงรายการสำหรับ "11: การปิดระบบปกติขอขอบคุณที่เล่น [preauth]" พร้อมกับ "11: Bye Bye [preauth]" และ "11: ถูกยกเลิกโดย ข้อความของผู้ใช้ที่เคยแสดงก่อนหน้านี้

ฉันไม่เคยเห็นข้อความนี้ในบันทึกของฉันก่อนหน้านี้ในช่วงสองสามสัปดาห์ที่ผ่านมาและฉันไม่เคยเห็นมันในเซิร์ฟเวอร์เก่าของฉันซึ่งติดอยู่บน Ubuntu 10.04 ฉันทำข้อความนี้แล้วและไม่สามารถหาคำอธิบายที่ชัดเจนได้

IP ที่พยายามเข้าสู่ระบบและรับข้อความนี้เป็นความพยายามในการแฮ็คแบบสุ่มและตัดสินจาก preauth ที่ฉันถือว่า (หวัง) พวกเขาไม่ประสบความสำเร็จ แต่ฉันอยากจะรู้ว่าข้อความนี้มีความหมายอย่างไรและแตกต่างจากคนอื่นอย่างไร

แก้ไขสำหรับข้อมูลเพิ่มเติม: เซิร์ฟเวอร์ของฉันปิดใช้งานการตรวจสอบรหัสผ่านและรับรองความถูกต้องของ root

ssh logwatch

— เดฟสเติร์น
แหล่งที่มา

เวอร์ชันใดของ libssh2 และมีการอัพเดตเมื่อเร็ว ๆ นี้? เท่าที่ฉันรู้นี่เป็นเพียงการเลิกจ้างตามปกติเมื่อเซิร์ฟเวอร์ไม่สามารถตรวจสอบผู้ใช้

— เส้นประสาท

SSH เองมีเอาต์พุต "ssh -V" ต่อไปนี้: OpenSSH_5.9p1 Debian-5ubuntu1.1, OpenSSL 1.0.1 14 มีนาคม 2555 ฉันไม่แน่ใจว่าจะติดตามหมายเลขเวอร์ชัน libssh2 ได้จากที่ใด

— เดฟสเติร์น

36

เมื่อไคลเอ็นต์ ssh ทำการปิดการเชื่อมต่อ "ปกติ" มันจะส่งแพ็คเก็ตพร้อมข้อความในนั้น เมื่อ ssh daemon ได้รับแพ็คเก็ตดังกล่าวเมื่อมันไม่ได้คาดหวังมัน - ในกรณีนี้ก่อนที่ผู้ใช้จะทำการตรวจสอบความถูกต้อง - มันจะบันทึกข้อความ (OpenSSH เวอร์ชั่นเก่าไม่ได้ทำเช่นนี้) ดังนั้นการคาดคะเนของคุณจึงถูกต้อง: มันเป็นผลข้างเคียงของการโจมตีด้วยการเดารหัสผ่านที่โหดร้าย คุณน่าจะใช้งานบางอย่างเช่น fail2ban หรือ sshguard เพื่อบล็อกสิ่งเหล่านี้ใน iptables แม้ว่าคุณคิดว่าทุกอย่างได้รับการกำหนดค่าอย่างถูกต้องเพื่อไม่อนุญาตให้ใช้รหัสผ่านก็ควรมีการป้องกันชั้นที่สอง

— Garrett Wollman
แหล่งที่มา

15

แต่ทำไม"thank you for playing"?

— Qback

7

@Qback 😂 Legark snark จากหนวดเคราสีเทา Linux รุ่นแรก

— aaiezza

10

คำตอบที่ยอมรับนั้นถูกต้อง แต่ฉันคิดว่าฉันโพสต์คำตอบนี้เพื่อเติมเต็มด้วยเหตุผลในการอธิบายว่าทำไมผู้ดูแลระบบไม่เห็นข้อความดังกล่าวในล็อกไฟล์ของพวกเขาก่อนหน้านี้

ปัญหานี้ถูกพูดถึงในรายชื่อนักพัฒนา OpenSSH ในเดือนมกราคม 2014 ตามที่Damien Miller นักพัฒนา OpenSSHกล่าว

ข้อความนั้นอยู่ที่นั่นตลอดไป:

1.41 (เครื่องหมาย 02-Jan-01): บันทึก ("ยกเลิกการเชื่อมต่อที่ได้รับจาก% s:% d:% .400s", ...

สิ่งเดียวที่มีการเปลี่ยนแปลงแบบกึ่งเมื่อเร็ว ๆ นี้คือเราปรับปรุงการบันทึกข้อความ preauthentication ในโหมด privsep ในรุ่น 5.9 เพื่อไม่ต้องใช้/dev/logภายใน privsep chroot อีกต่อไป หาก OpenSSH เวอร์ชันเก่าของคุณคือ <5.9 และ/var/emptychroot ไม่มี/dev/logในนั้นคุณอาจจะพลาดข้อความเหล่านี้

— แอนโทนี่จี - ความยุติธรรมสำหรับโมนิก้า
แหล่งที่มา

2

ฉันก็สังเกตเห็นข้อความเหล่านี้ในไฟล์บันทึกของฉันตั้งแต่เมื่อเร็ว ๆ นี้อัพเกรดแพคเกจ open-ssh บนเซิร์ฟเวอร์ของฉัน

อย่างไรก็ตามฉันไม่คิดว่าข้อความนั้นแปลว่าพยายามแฮ็ก บางส่วนของวลีที่ถูก hardcoded เป็นลูกค้าที่ถูกต้อง ssh สันนิษฐานว่าเป็นเศษเล็กเศษน้อยจากรหัสการพัฒนาเดิม อินสแตนซ์ของ ssh-client (iSSH) ของฉันปล่อยตัวอย่างวลีนี้เมื่อฉันตัดการเชื่อมต่อจากเซิร์ฟเวอร์ของฉันเอง

— ebahn
แหล่งที่มา

1

ไม่ได้อยู่กับ [preauth] สิ่งนี้บ่งชี้ว่าไคลเอ็นต์ไม่ได้พิสูจน์ตัวตนกับเซิร์ฟเวอร์สำเร็จ

— Michael Hampton

1

คุณพูดถูกไมเคิล ฉันแค่อ้างถึงวลี "Normal Shutdown, Thank you for play" เห็นได้ชัดว่าเมื่อฉันเชื่อมต่อกับการพิสูจน์ตัวตนเซิร์ฟเวอร์ของฉันจะดำเนินการตามกฎหมาย ฉันคิดว่าความสนใจเกี่ยวกับสิ่งนี้และวลีที่คล้ายกัน ('การปิดระบบปกติ .. ') เป็นเพราะก่อนหน้านี้พวกเขาไม่สามารถมองเห็นได้ในบันทึกและตอนนี้พวกเขาเป็น ไม่มีการเปลี่ยนแปลงในพฤติกรรมของลูกค้า ssh

— ebahn