Що означає "Нормальне вимкнення, дякую, що граєте [preauth]" у журналах SSH?

Нещодавно у моїх підсумках журналів SSH для моїх серверів Ubuntu 12.04 в Logwatch почали відображатися записи "11: нормальне вимкнення, дякую, що граєте [preauth]", а також "11: Bye Bye [preauth]" та "11: відключено повідомлення користувача, які вони показували раніше.

Я не бачив цього повідомлення в своїх журналах за останні кілька тижнів, і не бачив його на своїх старих серверах, які застрягли на Ubuntu 10.04. Я переглянув це повідомлення в Google і не можу знайти жодних чітких пояснень.

IP-адреси, які намагаються увійти та отримати це повідомлення, - випадкові спроби взлому, і, судячи з припущення, я припускаю (сподіваюся), що вони не мають успіху, але я хотів би точно знати, що означає це повідомлення і чим воно відрізняється від інших, щоб бути впевненим.

EDIT для додаткової інформації: Мої сервери мають ідентифікацію пароля, і автентифікацію root

Коли ssh-клієнт робить "нормальне" відключення з'єднання, він надсилає пакет із повідомленням у ньому. Коли ssh daemon отримує такий пакет, коли його не очікують - в цьому випадку, перш ніж користувачеві вдалося пройти автентифікацію - він реєструє повідомлення. (Старіші версії OpenSSH цього не робили.) Тож ваше уявлення є абсолютно правильним: це побічний ефект нападу ssh відвертої паролі з грубою силою. Вам, ймовірно, слід запустити щось на кшталт fail2ban або sshguard, щоб заблокувати їх у iptables; навіть якщо ви думаєте, що все правильно налаштовано для заборони паролів, добре мати другий рівень захисту.

Прийнята відповідь правильна, але я подумав, що опублікую цю відповідь, щоб доповнити її причиною зміни, пояснивши, чому адміністратори раніше не бачили таких повідомлень у своїх файлах журналу.

Це питання обговорювалося у списку розробників OpenSSH у січні 2014 року. За словами Дамієна Міллера, розробника OpenSSH ,

Повідомлення існує в основному назавжди:

1,41 (markus 02-Jan-01): log ("Отримано відключення від% s:% d:% .400s", ...

Єдине, що нещодавно змінилося, це те, що ми покращили ведення журналу повідомлень про попередню автентифікацію в режимі privsep у версії 5.9, щоб більше не потребувати /dev/logвнутрішнього елемента privsep chroot. Якщо у вашій старій версії OpenSSH була <5,9, а у /var/emptychroot /dev/logу ній не було, то, можливо, ви пропустили ці повідомлення.

Я теж помічав ці повідомлення у своїх файлах журналів з недавнього оновлення пакету open-ssh на своїх серверах.

Однак я не думаю, що повідомлення обов'язково означають спроби зламу. Деякі фрази жорстко закодовані в законних клієнтів ssh, імовірно, як залишки від початкового коду розробки. Наприклад, мій ssh-клієнт iOS (iSSH) видає цю фразу, коли я відключаюсь від власних серверів.