Значення "З'єднання закрите xxx [preauth]" у журналах sshd

У нас є пакетний сценарій Windows, який автоматично підключається до сервера linux через PLINK (putty). Немає автентифікації відкритого приватного ключа, користувач та пароль є у скрипті.

На нашому Linux сервері є кілька записів журналу sshd (/ var / log / messages):

sshd[7645]: Connection closed by xxx [preauth]

Що може бути причиною такого повідомлення?
"preauth", ймовірно, означає "попередня автентифікація"?

Іноді у записі "закрито на" є ip-адреса клієнта Windows, інший раз є ip-адреса сервера linux у "закритої". Хтось знає різницю між ip-адресою клієнта та ip-адресою хоста у повідомленні?

sshdСервер буде відключений , якщо клієнт не намагається перевірити справжність протягом певного періоду часу, як описано в -gваріанті.

 -g login_grace_time
         Gives the grace time for clients to authenticate themselves
         (default 120 seconds).  If the client fails to authenticate
         the user within this many seconds, the server disconnects
         and exits.  A value of zero indicates no limit.

Тож я підозрюю, що якщо ви бачите ІР-сервер у журналах із цим повідомленням, з'єднання було закрито, оскільки протягом цього часу не було спроби аутентифікації. Коли ви бачите IP-адресу клієнта, це означає, що користувач закрив свого клієнта (або сценарій припинено), не роблячи спроби аутентифікації.

У моєму випадку ці повідомлення з’являлися в / var / log / secure, коли у мене виникли Host key verification failed.помилки на стороні ssh-клієнта. Це один із випадків, що призведе до з'єднання без спроби входу.

У мене була дуже схожа проблема з вашою (хоча я використовував відкритий ключ).

Виявляється, моя проблема, а можливо, і ваша, була викликана тим, що в моєму домашньому каталозі було встановлення NFS, а selinux (на CentOS 7) видав деякі помилки (які було досить важко відстежити). Однак виправлення було простим.

setsebool -P use_nfs_home_dirs 1 

Іншим джерелом подібного роду повідомлень є ssh-keyscan. Він просто захоплює ключі хоста сервера і відключається, не роблячи ніякої аутентифікації.

Одне джерело цих повідомлень - https://sshcheck.com/, яке відображає можливу слабкість на вашому ssh-сервері.

Це спричиняє близько 4 таких повідомлень послідовно.

У мене була така ж проблема, я вирішив її так:

На сервері ssh я прокоментував і поставив так, щоб наступні значення в / etc / ssh / sshd_config

 RSAAuthentication yes
 PubkeyAuthentication yes

І потім:

sudo service sshd restart

Я зіткнувся з тією ж ситуацією, тому що iptablesправило INPUT було DROP, але ПРИЙМАТИ відповідальний хост, але немає правилаiptables -I INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

Журнал помилок "Nov 3 01:34:50 debian sshd[29378]: Connection closed by 10.17.64.13 [preauth]"був записаний "/var/log/auth.log"на клієнтській машині після того, як команда ansible all -m pingбула запущена в ansible хості.

Оскільки пакет ping отримав клієнт, але не повернувся до відповідального хоста.