Estamos vendo um volume desordenado das seguintes linhas de log em /var/log/auth.log em um de nossos servidores: Ubuntu 14,04
Feb 4 07:24:59 hostname sshd[29701]: Connection closed by xxxx [preauth]
Feb 4 07:24:59 hostname sshd[29789]: Connection closed by yyyy [preauth]
xxxx e yyyy são endereços IP privados de 2 servidores que estão no mesmo VPC. Parece estar fechando essas conexões a cada 15 segundos. De onde vem isso? O que está causando isso?
Também estamos vendo esses tipos de linhas de log recentemente para o zzzz, que é o endereço IP do servidor. O que essas linhas de registro significam e o que as causa?
Não há login de nenhum dos outros servidores para este servidor, mas podemos ver essas mensagens uma vez a cada 15 segundos (pelo menos).
Este é o arquivo sshd_config.
Porta
ListenAddress abc.abc.abc.abc
Protocolo 2
HostKey / etc / ssh / ssh_host_rsa_key
HostKey / etc / ssh / ssh_host_dsa_key
HostKey / etc / ssh / ssh_host_ecdsa_key
UsePrivilegeSeparation sim
KeyRegenerationInterval 3600
ServerKeyBits 1024
AUTH SyslogFacility
LogLevel VERBOSE
LoginGraceTime 120
PermitRootLogin sem senha
StrictModes yes
RSAAutenticação sim
PubkeyAuthentication yes
IgnoreRhosts sim
RhostsRSAAuthentication no