Signification de «Connexion fermée par xxx [preauth]» dans les journaux sshd

Nous avons un script batch de Windows, qui se connecte automatiquement à un serveur linux via PLINK (mastic). Il n'y a PAS d'authentification de clé privée publique, l'utilisateur et le mot de passe sont dans le script.

Sur notre serveur Linux, nous avons plusieurs entrées de journal sshd (/ var / log / messages):

sshd[7645]: Connection closed by xxx [preauth]

Quelle pourrait être la cause d'un tel message?
"preauth" signifie "pré-authentification"?

Parfois, dans l'entrée, "fermé par" a l'adresse IP du client Windows, une autre fois il y a l'adresse IP du serveur Linux dans "fermé par". Quelqu'un sait-il la différence entre l'adresse IP du client et l'adresse IP de l'hôte dans le message?

Le sshdserveur se déconnectera si le client n'essaie pas de s'authentifier dans un certain délai, comme indiqué dans l' -goption.

 -g login_grace_time
         Gives the grace time for clients to authenticate themselves
         (default 120 seconds).  If the client fails to authenticate
         the user within this many seconds, the server disconnects
         and exits.  A value of zero indicates no limit.

Je suppose donc que si vous voyez l’IP du serveur dans les journaux avec ce message, la connexion a été fermée car aucune tentative d’authentification n’a eu lieu pendant ce délai de grâce. Lorsque vous voyez l'IP du client, cela signifie que l'utilisateur a fermé son client (ou le script s'est terminé) sans faire de tentative d'authentification.

Dans mon cas, ces messages sont apparus dans / var / log / secure lorsque je rencontrais des Host key verification failed.erreurs du côté du client ssh. C’est l’un des cas qui aboutirait à une connexion sans tentative de connexion.

J'ai eu un problème très similaire au vôtre (bien que j'utilisais une clé publique).

Il s’avère que mon problème, et peut-être le vôtre, est dû au fait que mon répertoire personnel est un montage NFS et que selinux (sur CentOS 7) génère des erreurs (assez difficiles à détecter). La solution était simple cependant.

setsebool -P use_nfs_home_dirs 1 

Une autre source de ce type de messages est ssh-keyscan. Il saisit simplement les clés de l'hôte du serveur et se déconnecte sans aucune authentification.

Une des sources de ces messages est https://sshcheck.com/, qui affiche les faiblesses possibles sur votre serveur ssh.

Cela provoque environ 4 de ces messages de manière séquentielle.

J'ai eu le même problème, je l'ai résolu comme ceci:

Sur le serveur SSH, j'ai commenté et mis à Oui les valeurs suivantes dans / etc / ssh / sshd_config

 RSAAuthentication yes
 PubkeyAuthentication yes

Puis:

sudo service sshd restart

J'ai rencontré la même situation, à cause de la iptablesrègle INPUT était DROP, mais ACCEPTER l'hôte ansible, mais il n'y a pas de règleiptables -I INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

Le journal des erreurs a "Nov 3 01:34:50 debian sshd[29378]: Connection closed by 10.17.64.13 [preauth]"été écrit "/var/log/auth.log"sur l'ordinateur client après ansible all -m pingl'exécution de la commande sur l'hôte ansible.

Parce que le paquet ping avait été reçu par le client mais ne revenait pas à l'hôte ansible.