47 votes

Dave Stern avatar

Que signifie "Normal Shutdown, Thank you for playing [preauth]" ? dans les journaux SSH ?

Demandé el 4 de Décembre, 2013
Quand la question a-t-elle été
56153 affichage
Nombre de visites la question a
3 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Récemment, les résumés des journaux SSH de mes serveurs Ubuntu 12.04 dans Logwatch ont commencé à afficher des entrées pour "11 : Normal Shutdown, Thank you for playing [preauth]" avec les messages "11 : Bye Bye [preauth]" et "11 : disconnected by user" qu'ils affichaient auparavant.

Je n'ai pas vu ce message dans mes logs avant ces dernières semaines, ni sur mes anciens serveurs qui sont bloqués sur Ubuntu 10.04. J'ai cherché ce message sur Google et je n'ai pas trouvé d'explications claires non plus.

Les IP qui tentent de se connecter et qui reçoivent ce message sont des tentatives de piratage aléatoires et, à en juger par la préauthentification, je suppose (j'espère) qu'elles n'aboutissent pas, mais j'aimerais savoir exactement ce que ce message signifie et en quoi il diffère des autres pour en avoir le cœur net.

EDIT pour plus d'informations : L'authentification par mot de passe et l'authentification root sont toutes deux désactivées sur mes serveurs.

Demandé el 4 de Décembre, 2013 par Dave Stern

Réponses

Trop de publicités?

42voto

Jr_carlsson avatar
Jr_carlsson Points 19

Lorsque le client ssh effectue une fermeture de connexion "normale", il envoie un paquet contenant un message. Lorsque le démon ssh reçoit un tel paquet alors qu'il ne s'y attend pas -- dans ce cas, avant que l'utilisateur ne parvienne à s'authentifier -- il enregistre le message. (Les anciennes versions d'OpenSSH ne faisaient pas cela.) Votre supposition est donc tout à fait exacte : il s'agit d'un effet secondaire d'une attaque par force brute visant à deviner le mot de passe ssh. Vous devriez probablement utiliser quelque chose comme fail2ban ou sshguard pour bloquer ces attaques dans iptables ; même si vous pensez que tout est correctement configuré pour interdire les mots de passe, il est bon d'avoir une deuxième couche de défense.

Répondu el 24 de Décembre, 2013 par Jr_carlsson (19 Points )

14voto

Anthony Geoghegan avatar
Anthony Geoghegan Points 2760

La réponse acceptée est correcte, mais j'ai pensé poster cette réponse pour la compléter avec la raison du changement, expliquant pourquoi les administrateurs ne voyaient pas auparavant de tels messages dans leurs fichiers journaux.

Ce problème a été discuté sur la liste des développeurs d'OpenSSH en janvier 2014. D'après Damien Miller, développeur OpenSSH ,

Le message existe depuis toujours :

1.41 (markus 02-Jan-01) : log("Received disconnect from %s : %d : %.400s", ...

La seule chose qui a changé récemment est que nous avons amélioré la journalisation des messages de préauthentification en mode privsep dans la version 5.9 afin de ne plus avoir besoin d'un fichier /dev/log dans le chroot privsep. Si votre ancienne version d'OpenSSH était <5.9 et que le paramètre /var/empty chroot n'avait pas de /dev/log dans celui-ci, il se peut que vous n'ayez pas reçu ces messages.

Répondu el 3 de Mai, 2015 par Anthony Geoghegan (2760 Points )

2voto

ebahn avatar
ebahn Points 33

J'ai également remarqué ces messages dans mes fichiers journaux depuis que j'ai récemment mis à jour le paquet open-ssh sur mes serveurs.

Cependant, je ne pense pas que les messages impliquent nécessairement des tentatives de piratage. Certaines des phrases sont codées en dur dans des clients ssh légitimes, probablement en tant que vestiges du code de développement original. Mon client ssh iOS (iSSH), par exemple, émet cette phrase lorsque je me déconnecte de mes propres serveurs.

Répondu el 10 de Avril, 2014 par ebahn (33 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X