需要暴露在 Internet 上的 Linux(特别是 Debian Jessie)服务器preauth在日志中吐出各种 OpenSSH 6.7 错误。例如,我得到(为清楚起见省略了时间戳):
- 错误:收到与 ABCD 的断开连接:3:com.jcraft.jsch.JSchException:身份验证失败 [preauth]
- 致命:无法协商密钥交换方法 [preauth]
- 致命:找不到匹配的密码:客户端...服务器... [preauth]
- 收到与 ABCD 断开连接:11:正常关机,感谢您播放 [preauth]
- 收到与 ABCD 的断开连接:11:ok [preauth]
等等。
我并不十分担心探测器本身。系统保持最新,OpenSSH 配置根据当前的最佳实践得到了很好的强化,并且有额外的保护措施(例如fail2ban)。
是否有任何理由说明任何preauthOpenSSH 日志条目会引起特别的人类关注?
SSH 日志中的“Normal Shutdown,Thank you for playing [ preauth ]”是什么意思?表示该问题中的特定情况可以安全地忽略;我的问题更笼统。
看起来您已经采取了一些特定的步骤来强化 OpenSSH。
作为这些更改的副作用,结合运行相对较新的 OpenSSH 版本,您将收到更多关于连接失败的详细日志条目。
您看到的所有 preauth 消息都属于这一类,并表示由于某种原因无法建立连接的客户端。在大多数情况下,这些连接在客户端能够尝试输入用户名和密码之前就失败了。
处理这些日志条目的最佳方法是将它们提供给日志聚合器,并制作漂亮的图表供安全研究人员查看。他们不需要任何个人的人工干预。
当然,您应该继续干预表明密码已尝试但失败的消息。您现有的工具(例如 fail2ban)在这里可以很好地为您服务,尽管您会发现您的禁令列表比以前小得多,因为大多数 ssh 蛮力机器人还没有使用现代加密(这是大多数这些消息的根本原因)。
您可能需要干预的另一个地方是不再能够连接的授权用户,因为他们使用的是旧版本的 ssh 客户端(例如,旧版本的 PuTTY 或 FileZilla)。将客户端更新到最新版本可修复这些问题。