¿Qué significa "apagado normal, gracias por jugar [preauth]" en los registros SSH?

37

Recientemente, Mis resúmenes de registro de SSH para mis servidores Ubuntu 12.04 en Logwatch han comenzado a mostrar entradas para "11: apagado normal, gracias por jugar [preauth]" junto con "11: Bye Bye [preauth]" y "11: desconectado por mensajes de usuario "que habían estado mostrando anteriormente.

No he visto este mensaje en mis registros antes de las últimas semanas, ni lo he visto en mis servidores más antiguos que están atascados en Ubuntu 10.04. He buscado en Google este mensaje y tampoco puedo encontrar explicaciones claras allí.

Las IP que intentan iniciar sesión y reciben este mensaje son intentos aleatorios de pirateo, y a juzgar por la autorización previa, supongo (espero) que no tengan éxito, pero me gustaría saber exactamente qué significa este mensaje y en qué se diferencia de otros para estar seguro.

EDITAR para obtener información adicional: mis servidores tienen autenticación de contraseña y autenticación de raíz deshabilitadas

ssh logwatch Dave Stern
fuente
¿Qué versión de libssh2, y se actualizó recientemente? Hasta donde yo sé, esto es solo una terminación normal cuando el servidor no puede autenticar al usuario.
nervio
SSH tiene el siguiente resultado "ssh -V": OpenSSH_5.9p1 Debian-5ubuntu1.1, OpenSSL 1.0.1 14 de marzo de 2012. No estoy seguro de dónde localizar el número de versión de libssh2.
Dave Stern

Respuestas:

36

Cuando el cliente ssh realiza un apagado de conexión "normal", envía un paquete con un mensaje. Cuando el demonio ssh obtiene dicho paquete cuando no lo espera, en este caso, antes de que el usuario haya logrado autenticarse, registra el mensaje. (Las versiones anteriores de OpenSSH no hacían esto). Por lo tanto, su conjetura es exactamente correcta: es un efecto secundario de un ataque de fuerza bruta ssh que adivina la contraseña. Probablemente deberías estar ejecutando algo como fail2ban o sshguard para bloquearlos en iptables; incluso si crees que todo está configurado correctamente para no permitir contraseñas, es bueno tener una segunda capa de defensa.

Garrett Wollman
fuente
15
Pero por que "thank you for playing"?
Qback
77
@Qback 😂 Snark heredado de las primeras barbas grises de Linux.
aaiezza
10

La respuesta aceptada es correcta, pero pensé en publicar esta respuesta para complementarla con una razón para el cambio explicando por qué los administradores no vieron previamente tales mensajes en sus archivos de registro.

Este problema se discutió en la lista de desarrolladores de OpenSSH en enero de 2014. Según Damien Miller, desarrollador de OpenSSH ,

El mensaje ha estado allí básicamente para siempre:

1.41 (markus 02-ene-01): log ("Desconexión recibida de% s:% d:% .400s", ...

Lo único que ha cambiado recientemente es que hemos mejorado el registro de los mensajes de autenticación previa en modo privado en la versión 5.9 para que ya no necesitemos un /dev/logchroot privado. Si su versión anterior de OpenSSH era <5.9 y el /var/emptychroot no tenía contenido /dev/log, es posible que le hayan faltado estos mensajes.

Anthony G - justicia para Monica
fuente
2

También he notado estos mensajes en mis archivos de registro desde que actualicé recientemente el paquete open-ssh en mis servidores.

Sin embargo, no creo que los mensajes impliquen necesariamente intentos de pirateo. Algunas de las frases están codificadas en clientes ssh legítimos, presumiblemente como restos del código de desarrollo original. Mi cliente ssh de iOS (iSSH), por ejemplo, emite esta frase cuando me desconecto de mis propios servidores.

ebahn
fuente
1
No con [preauth]. Esto indica específicamente que el cliente no se autenticó correctamente en el servidor.
Michael Hampton
1
Tienes razón, Michael. Solo me refería a la frase "Apagado normal, gracias por jugar". Obviamente, cuando me conecto legítimamente a mi propio servidor, procede la autenticación. Creo que la atención en esta y otras frases similares ('Apagado normal ...') se debe a que anteriormente no eran visibles en los registros, y ahora lo son. No hay cambios en el comportamiento del cliente ssh.
ebahn