Que signifie «Arrêt normal, merci d'avoir joué [preauth]» dans les journaux SSH?


37

Récemment, mes résumés de journaux SSH pour mes serveurs Ubuntu 12.04 dans Logwatch ont commencé à afficher les entrées pour "11: Arrêt normal, Merci d'avoir joué [preauth]" avec "11: Bye Bye [preauth]" et "11: déconnecté par "utilisateur" qu'ils avaient montré précédemment.

Je n'ai pas vu ce message dans mes journaux avant ces dernières semaines, ni sur mes anciens serveurs bloqués sous Ubuntu 10.04. J'ai googlé ce message et je n'y trouve aucune explication claire.

Les IP qui tentent de se connecter et de recevoir ce message sont des tentatives de piratage aléatoires. À en juger par la pré-autorisation, je suppose (espérons-le) qu'ils échouent, mais j'aimerais savoir exactement ce que signifie ce message et en quoi il diffère des autres pour en être sûr.

EDIT pour plus d'informations: l'authentification par mot de passe et l'authentification racine sont désactivées sur mes serveurs


Quelle version de libssh2 et a-t-elle été mise à jour récemment? Autant que je sache, il ne s'agit que d'une fin normale lorsque le serveur ne peut pas autoriser l'utilisateur.
nerf

SSH lui-même a la sortie "ssh -V" suivante: OpenSSH_5.9p1 Debian-5ubuntu1.1, OpenSSL 1.0.1 14 mars 2012. Je ne sais pas où localiser le numéro de version de libssh2.
Dave Stern

Réponses:


36

Lorsque le client ssh procède à un arrêt de connexion "normal", il envoie un paquet contenant un message. Lorsque le démon ssh reçoit un tel paquet quand il ne l'attend pas - dans ce cas, avant que l'utilisateur ait réussi à s'authentifier - il enregistre le message. (Les anciennes versions d'OpenSSH ne le faisaient pas.) Donc, votre hypothèse est tout à fait exacte: c'est un effet secondaire d'une attaque par force de ssh par brute-force. Vous devriez probablement exécuter quelque chose comme fail2ban ou sshguard pour les bloquer dans iptables; Même si vous pensez que tout est correctement configuré pour interdire les mots de passe, il est bon de disposer d'une deuxième couche de défense.


15
Mais pourquoi "thank you for playing"?
Qback

7
@Qback 😂 Snark hérité des premières barbes grises de Linux.
aaiezza

10

La réponse acceptée est correcte, mais je pensais que je posterais cette réponse pour la compléter par une raison expliquant pourquoi les administrateurs ne voyaient pas auparavant de tels messages dans leurs fichiers journaux.

Ce problème a été discuté sur la liste des développeurs OpenSSH en janvier 2014. Selon Damien Miller, développeur OpenSSH ,

Le message existe depuis toujours:

1.41 (markus 02-Jan-01): log ("Déconnexion reçue de% s:% d:% .400s", ...

La seule chose qui a changé récemment, c'est que nous avons amélioré la journalisation des messages de pré-authentification en mode privsep dans la version 5.9 pour ne plus avoir besoin d'un /dev/logchroot à l'intérieur de privsep. Si votre ancienne version OpenSSH était <5.9 et que le /var/emptychroot n'en contenait pas, /dev/logil se peut que ces messages vous manquent.


2

J'ai moi aussi remarqué ces messages dans mes fichiers journaux depuis la mise à niveau récente du paquet open-ssh sur mes serveurs.

Cependant, je ne pense pas que les messages impliquent nécessairement des tentatives de piratage. Certaines phrases sont codées en dur dans des clients ssh légitimes, vraisemblablement comme des restes du code de développement d'origine. Mon client ssh iOS (iSSH), par exemple, émet cette phrase lorsque je me déconnecte de mes propres serveurs.


1
Pas avec [preauth]. Cela indique spécifiquement que le client n'a pas réussi à s'authentifier sur le serveur.
Michael Hampton

1
Tu as raison, Michael. Je faisais seulement référence à la phrase "Arrêt normal, merci de jouer". Évidemment, lorsque je me connecte légitimement à mon propre serveur, l’authentification se poursuit. Je pense que l'attention portée à cela et aux expressions similaires ("Arrêt normal") est due au fait qu'elles n'étaient auparavant pas visibles dans les journaux et qu'elles le sont maintenant. Il n'y a aucun changement dans le comportement du client ssh.
ebahn
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.