Significado de “Conexão fechada por xxx [preauth]” em logs sshd

43

Nós temos um script em lote do Windows, que se conecta automaticamente a um servidor linux via PLINK (putty). NÃO há autenticação de chave pública privada, o usuário e a senha estão em o script.

No nosso servidor Linux, temos várias entradas de registro sshd (/ var / log / messages):

sshd[7645]: Connection closed by xxx [preauth]

Qual poderia ser a causa de tal mensagem?
"preauth" supostamente significa "pré-autenticação"?

Às vezes, na entrada, "fechado por" tem o endereço IP do cliente windows, outra vez há o endereço IP do servidor linux em "fechado por". Alguém sabe a diferença entre o endereço IP do cliente e o endereço IP do host na mensagem?

    
por Wolfgang Adamec 25.11.2013 / 12:41

7 respostas

19

O servidor sshd será desconectado se o cliente não tentar autenticar em um determinado período de tempo, conforme documentado na opção -g .

 -g login_grace_time
         Gives the grace time for clients to authenticate themselves
         (default 120 seconds).  If the client fails to authenticate
         the user within this many seconds, the server disconnects
         and exits.  A value of zero indicates no limit.

Por isso, suspeito que, se vir o IP do servidor nos registos com esta mensagem, a ligação foi encerrada porque não ocorreu nenhuma tentativa de autenticação dentro deste período de tolerância. Quando você vê o IP do cliente, isso significa que o usuário fechou o cliente (ou o script foi encerrado) sem fazer uma tentativa de autenticação.

    
por 11.12.2013 / 14:55
7

No meu caso, essas mensagens apareceram em / var / log / secure quando eu estava com erros de Host key verification failed. no lado do cliente ssh. Este é um dos casos que resultariam em uma conexão sem uma tentativa de login.

    
por 26.04.2016 / 17:01
4

Eu tive um problema muito parecido com o seu (embora eu estivesse usando a chave pública).

Acontece que meu problema, e possivelmente o seu, foi causado porque meu diretório home era uma montagem NFS, e o selinux (no CentOS 7) estava causando alguns erros (que eram muito difíceis de rastrear). A correção foi simples embora.

setsebool -P use_nfs_home_dirs 1 
    
por 26.09.2016 / 15:51
1

Eu tive o mesmo problema, resolvi assim:

No servidor ssh, eu descomentei e coloquei em yes os seguintes valores em / etc / ssh / sshd_config

 RSAAuthentication yes
 PubkeyAuthentication yes

E então:

sudo service sshd restart
    
por 05.12.2016 / 12:05
0

Outra fonte desse tipo de mensagem é ssh-keyscan . Ele simplesmente captura as chaves do host do servidor e as desconecta sem fazer qualquer autenticação.

    
por 11.05.2017 / 23:36
0

Uma fonte dessas mensagens é o link que exibe possíveis pontos fracos em seu servidor ssh.

Causa cerca de 4 dessas mensagens sequencialmente.

    
por 16.06.2017 / 08:28
0

Conheci a mesma situação, porque a regra iptables INPUT era DROP, mas ACCEPT o host ansible, mas não há a regra iptables -I INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

O log de erros "Nov 3 01:34:50 debian sshd[29378]: Connection closed by 10.17.64.13 [preauth]" foi gravado em "/var/log/auth.log" na máquina cliente depois que o comando ansible all -m ping foi executado no host ansible.

Porque o pacote de ping foi recebido pelo cliente, mas não retornou ao host ansible.

    
por 02.11.2018 / 14:50