Arti dari "Koneksi ditutup oleh xxx [preauth]" di sshd log

54

Kami memiliki skrip batch Windows, yang terhubung secara otomatis ke server linux melalui PLINK (dempul). Tidak ada otentikasi kunci pribadi publik, pengguna dan kata sandi ada dalam skrip.

Di server linux kami, kami memiliki beberapa entri log sshd (/ var / log / messages):

sshd[7645]: Connection closed by xxx [preauth]

Apa yang bisa menjadi penyebab pesan seperti itu?
"preauth" mungkin berarti "pre autentifikasi"?

Terkadang dalam entri, "ditutup oleh" memiliki alamat ip dari klien windows, lain kali ada alamat ip dari server linux di "ditutup oleh". Apakah ada yang tahu perbedaan antara alamat ip klien dan host alamat ip dalam pesan?

ssh logs authentication Wolfgang Adamec
sumber
Ketika diamati /usr/local/sbin/sshd -D -e, kemungkinan solusinya: serverfault.com/a/211176
Ivan Chau
Saya mengalami masalah yang sama dan dalam kasus saya, saya mempersempitnya dengan fakta bahwa kunci yang sama berfungsi dari shell ubuntu pada ubuntu nyata yang dijalankan sebagai VM dan bukan dari ubuntu yang disematkan ke dalam Windows 10 (AKA Windows Linux Subsystem) . Belum tahu kenapa, tapi mungkin ini masih membantu seseorang
Jens Kisters
Periksa /var/log/securedengan LogLevel DEBUG3di/etc/ssh/sshd_config
Ivan Chau

Jawaban:

24

The sshdServer akan memutuskan jika klien tidak mencoba untuk mengotentikasi dalam jangka waktu tertentu, seperti yang didokumentasikan dalam -gpilihan.

 -g login_grace_time
         Gives the grace time for clients to authenticate themselves
         (default 120 seconds).  If the client fails to authenticate
         the user within this many seconds, the server disconnects
         and exits.  A value of zero indicates no limit.

Jadi saya curiga jika Anda melihat IP server di log dengan pesan ini, koneksi ditutup karena tidak ada upaya otentikasi yang terjadi dalam tenggang waktu ini. Ketika Anda melihat IP klien, itu berarti pengguna menutup klien mereka (atau skrip dihentikan) tanpa melakukan upaya otentikasi.

oeuftete
sumber
Apakah ini dapat disebabkan oleh mis. Pemindaian nmap?
Qback
Ini biasanya upaya retas. Saya melihat banyak dari Cina, Rusia, Jepang, dll.
jjxtra
3
Jika alamat IP dalam pesan adalah alamat IP klien, itu mungkin menunjukkan bahwa klien berusaha untuk mengautentikasi frasa sandi yang salah untuk kunci pribadi mereka. Klien mereka kemudian gagal memecahkan kode kunci dan memutuskan sambungan tanpa mencoba otentikasi.
Code Commander
7

Dalam kasus saya, pesan-pesan ini muncul di / var / log / secure ketika saya mengalami Host key verification failed.kesalahan di sisi klien ssh. Ini adalah salah satu kasus yang akan menghasilkan koneksi tanpa upaya login.

pcronin
sumber
4

Saya memiliki masalah yang sangat mirip dengan masalah Anda (meskipun saya menggunakan kunci publik).

Ternyata masalah saya, dan mungkin masalah Anda, disebabkan karena direktori home saya adalah mount NFS, dan selinux (pada CentOS 7) memunculkan beberapa kesalahan (yang cukup sulit untuk dilacak). Cara mengatasinya sederhana.

setsebool -P use_nfs_home_dirs 1
Simon
sumber
2

Sumber lain dari jenis pesan ini adalah ssh-keyscan. Itu hanya mengambil kunci host server dan memutus tanpa melakukan otentikasi.

x-yuri
sumber
2

Salah satu sumber pesan ini adalah https://sshcheck.com/ yang menampilkan kemungkinan kelemahan pada server ssh Anda.

Ini menyebabkan sekitar 4 pesan ini berurutan.

Daniel F
sumber
1

Saya memiliki masalah yang sama, saya menyelesaikannya seperti ini:

Di server ssh, saya membatalkan komentar, dan menempatkan ya pada nilai-nilai berikut di / etc / ssh / sshd_config

 RSAAuthentication yes
 PubkeyAuthentication yes

Lalu:

sudo service sshd restart
matt
sumber
0

Saya bertemu situasi yang sama, karena iptablesaturan INPUT adalah DROP, tetapi MENERIMA tuan rumah yang mungkin, tetapi ada tidak memiliki aturaniptables -I INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

Log kesalahan "Nov 3 01:34:50 debian sshd[29378]: Connection closed by 10.17.64.13 [preauth]"ditulis di "/var/log/auth.log"mesin klien setelah perintah ansible all -m pingdijalankan di host yang memungkinkan.

Karena paket ping telah diterima oleh klien tetapi tidak kembali ke host yang mungkin.

VictorLee
sumber