Significado de "Conexión cerrada por xxx [preauth]" en registros sshd

Tenemos un script por lotes de Windows, que se conecta automáticamente a un servidor Linux a través de PLINK (masilla). NO hay autenticación de clave privada pública, el usuario y la contraseña están en el script.

En nuestro servidor Linux tenemos varias entradas de registro sshd (/ var / log / messages):

sshd[7645]: Connection closed by xxx [preauth]

¿Cuál podría ser la causa de tal mensaje?
"preauth" supuestamente significa "pre autenticación"?

A veces, en la entrada, "cerrado por" tiene la dirección IP del cliente de Windows, otra vez está la dirección IP del servidor Linux en "cerrado por". ¿Alguien sabe la diferencia entre la dirección IP del cliente y la dirección IP del host en el mensaje?

El sshdservidor se desconectará si el cliente no intenta autenticarse en un cierto período de tiempo, como se documenta en la -gopción.

 -g login_grace_time
         Gives the grace time for clients to authenticate themselves
         (default 120 seconds).  If the client fails to authenticate
         the user within this many seconds, the server disconnects
         and exits.  A value of zero indicates no limit.

Así que sospecho que si ve la IP del servidor en los registros con este mensaje, la conexión se cerró porque no se produjo ningún intento de autenticación dentro de este tiempo de gracia. Cuando vea la IP del cliente, significa que el usuario cerró su cliente (o el script finalizó) sin hacer un intento de autenticación.

En mi caso, estos mensajes aparecieron en / var / log / secure cuando estaba experimentando Host key verification failed.errores en el lado del cliente ssh. Este es uno de los casos que daría lugar a una conexión sin un intento de inicio de sesión.

Tuve un problema muy similar al tuyo (aunque estaba usando clave pública).

Resulta que mi problema, y ​​posiblemente el suyo, fue causado porque mi directorio de inicio era un montaje NFS, y selinux (en CentOS 7) estaba arrojando algunos errores (que eran bastante difíciles de rastrear). Sin embargo, la solución fue simple.

setsebool -P use_nfs_home_dirs 1 

Otra fuente de este tipo de mensajes es ssh-keyscan. Simplemente toma las claves de host del servidor y se desconecta sin realizar ninguna autenticación.

Una fuente de estos mensajes es https://sshcheck.com/ que muestra posibles debilidades en su servidor ssh.

Provoca aproximadamente 4 de estos mensajes de forma secuencial.

Tuve el mismo problema, lo resolví así:

En el servidor ssh, eliminé el comentario y puse en sí los siguientes valores en / etc / ssh / sshd_config

 RSAAuthentication yes
 PubkeyAuthentication yes

Y entonces:

sudo service sshd restart

Encontré la misma situación, debido a que la iptablesregla INPUT era DROP, pero ACEPTO el host ansible, pero no hay una reglaiptables -I INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

El registro de errores "Nov 3 01:34:50 debian sshd[29378]: Connection closed by 10.17.64.13 [preauth]"se escribió en "/var/log/auth.log"la máquina del cliente después de ansible all -m pingejecutar el comando en el host ansible.

Porque el paquete de ping había sido recibido por el cliente pero no había regresado al host ansible.