Que signifie «Arrêt normal, merci d'avoir joué [preauth]» dans les journaux SSH?

Récemment, mes résumés de journaux SSH pour mes serveurs Ubuntu 12.04 dans Logwatch ont commencé à afficher les entrées pour "11: Arrêt normal, Merci d'avoir joué [preauth]" avec "11: Bye Bye [preauth]" et "11: déconnecté par "utilisateur" qu'ils avaient montré précédemment.

Je n'ai pas vu ce message dans mes journaux avant ces dernières semaines, ni sur mes anciens serveurs bloqués sous Ubuntu 10.04. J'ai googlé ce message et je n'y trouve aucune explication claire.

Les IP qui tentent de se connecter et de recevoir ce message sont des tentatives de piratage aléatoires. À en juger par la pré-autorisation, je suppose (espérons-le) qu'ils échouent, mais j'aimerais savoir exactement ce que signifie ce message et en quoi il diffère des autres pour en être sûr.

EDIT pour plus d'informations: l'authentification par mot de passe et l'authentification racine sont désactivées sur mes serveurs

Lorsque le client ssh procède à un arrêt de connexion "normal", il envoie un paquet contenant un message. Lorsque le démon ssh reçoit un tel paquet quand il ne l'attend pas - dans ce cas, avant que l'utilisateur ait réussi à s'authentifier - il enregistre le message. (Les anciennes versions d'OpenSSH ne le faisaient pas.) Donc, votre hypothèse est tout à fait exacte: c'est un effet secondaire d'une attaque par force de ssh par brute-force. Vous devriez probablement exécuter quelque chose comme fail2ban ou sshguard pour les bloquer dans iptables; Même si vous pensez que tout est correctement configuré pour interdire les mots de passe, il est bon de disposer d'une deuxième couche de défense.

La réponse acceptée est correcte, mais je pensais que je posterais cette réponse pour la compléter par une raison expliquant pourquoi les administrateurs ne voyaient pas auparavant de tels messages dans leurs fichiers journaux.

Ce problème a été discuté sur la liste des développeurs OpenSSH en janvier 2014. Selon Damien Miller, développeur OpenSSH ,

Le message existe depuis toujours:

1.41 (markus 02-Jan-01): log ("Déconnexion reçue de% s:% d:% .400s", ...

La seule chose qui a changé récemment, c'est que nous avons amélioré la journalisation des messages de pré-authentification en mode privsep dans la version 5.9 pour ne plus avoir besoin d'un /dev/logchroot à l'intérieur de privsep. Si votre ancienne version OpenSSH était <5.9 et que le /var/emptychroot n'en contenait pas, /dev/logil se peut que ces messages vous manquent.

J'ai moi aussi remarqué ces messages dans mes fichiers journaux depuis la mise à niveau récente du paquet open-ssh sur mes serveurs.

Cependant, je ne pense pas que les messages impliquent nécessairement des tentatives de piratage. Certaines phrases sont codées en dur dans des clients ssh légitimes, vraisemblablement comme des restes du code de développement d'origine. Mon client ssh iOS (iSSH), par exemple, émet cette phrase lorsque je me déconnecte de mes propres serveurs.