Ssh

是否有任何 OpenSSH 6.7 preauth 錯誤日誌條目值得特別關注?

  • March 8, 2016

需要暴露在 Internet 上的 Linux(特別是 Debian Jessie)伺服器preauth在日誌中吐出各種 OpenSSH 6.7 錯誤。例如,我得到(為清楚起見省略了時間戳):

  • 錯誤:收到與 ABCD 的斷開連接:3:com.jcraft.jsch.JSchException:身份驗證失敗$$ preauth $$
  • 致命:無法協商密鑰交換方法$$ preauth $$
  • 致命:找不到匹配的密碼:客戶端…伺服器…$$ preauth $$
  • 收到與 ABCD 斷開連接:11:正常關機,感謝您的播放$$ preauth $$
  • 收到與 ABCD 的斷開連接:11:好的$$ preauth $$

等等。

我並不十分擔心探測器本身。系統保持最新,OpenSSH 配置根據目前的最佳實踐得到了很好的強化,並且有額外的保護措施(例如fail2ban)。

是否有任何理由說明任何preauthOpenSSH 日誌條目會引起特別的人類關注?

問題的答案“正常關機,謝謝你玩”是什麼意思$$ preauth $$” 在 SSH 日誌中是什麼意思?表示該問題中的特定情況可以安全地忽略;我的問題更籠統。

看起來您已經採取了一些特定的步驟來強化 OpenSSH

作為這些更改的副作用,再加上執行相對較新的 OpenSSH 版本,您將收到更多關於連接失敗的詳細日誌條目。

您看到的所有 preauth 消息都屬於這一類,並表示由於某種原因無法建立連接的客戶端。在大多數情況下,這些連接在客戶端能夠嘗試輸入使用者名和密碼之前就失敗了。

處理這些日誌條目的最佳方法是將它們提供給日誌聚合器,並製作漂亮的圖表供安全研究人員查看。他們不需要任何個人的人工干預。

當然,您應該繼續干預表明密碼已嘗試但失敗的消息。您現有的工具(例如 fail2ban)將在這里為您提供良好的服務,儘管您會發現您的禁令列表比以前小得多,因為大多數 ssh 蠻力機器人尚未使用現代加密(這是大多數這些消息的根本原因)。

您可能需要干預的另一個地方是不再能夠連接的*授權使用者,因為他們使用的是舊版本的 ssh 客戶端(例如,舊版本的 PuTTY 或 FileZilla)。*將客戶端更新到最新版本可修復這些問題。

引用自:https://serverfault.com/questions/762184