Что означает «Нормальное завершение работы, спасибо за игру [preauth]» в журналах SSH?

Недавно в моих сводках журнала SSH для моих серверов Ubuntu 12.04 в Logwatch начали отображаться записи для «11: Нормальное завершение работы, спасибо за игру [preauth]» вместе с «11: Bye Bye [preauth]» и «11: отсоединен от сообщения пользователя, которые они показывали ранее.

Я не видел этого сообщения в своих журналах за последние несколько недель и не видел его на своих старых серверах, которые зависли в Ubuntu 10.04. Я погуглил это сообщение и не могу найти там никаких четких объяснений.

IP-адреса, пытающиеся войти в систему и получить это сообщение, являются случайными попытками взлома, и, исходя из предавления, я предполагаю (надеюсь), что они не увенчались успехом, но я хотел бы точно знать, что означает это сообщение и чем оно отличается от других, чтобы быть уверенным.

РЕДАКТИРОВАТЬ для получения дополнительной информации: на моих серверах аутентификация по паролю и аутентификация root отключены

Когда клиент ssh выполняет «нормальное» отключение соединения, он отправляет пакет с сообщением в нем. Когда демон ssh получает такой пакет, когда он его не ожидает - в данном случае, до того, как пользователю удалось пройти проверку подлинности - он регистрирует сообщение. (Более старые версии OpenSSH этого не делали.) Таким образом, ваша догадка абсолютно верна: это побочный эффект атаки подбора паролей по ssh. Вероятно, вы должны запустить что-то вроде fail2ban или sshguard, чтобы заблокировать их в iptables; даже если вы думаете, что все настроено правильно для запрета паролей, хорошо бы иметь второй уровень защиты.

Принятый ответ правильный, но я решил опубликовать этот ответ, чтобы дополнить его причиной изменения, объясняющей, почему администраторы ранее не видели такие сообщения в своих файлах журнала.

Эта проблема обсуждалась в списке разработчиков OpenSSH в январе 2014 года. По словам Дэмиена Миллера, разработчика OpenSSH ,

Сообщение было там в основном навсегда:

1.41 (отметка 02-янв-01): журнал («Получено отключение от% s:% d:% .400s», ...

Единственное, что изменилось за последнее время, - это то, что мы улучшили запись сообщений предварительной аутентификации в режиме privsep в версии 5.9, чтобы больше не нуждаться во /dev/logвнутреннем chroot privsep. Если ваша старая версия OpenSSH была <5.9 и у /var/emptychroot не было /dev/logв ней, возможно, вы пропустили эти сообщения.

Я также заметил эти сообщения в моих файлах журнала с недавнего обновления пакета open-ssh на моих серверах.

Однако я не думаю, что сообщения обязательно подразумевают попытки взлома. Некоторые фразы жестко закодированы в легитимных ssh-клиентах, предположительно как остатки из исходного кода разработки. Например, мой ssh-клиент iOS (iSSH) выдает эту фразу, когда я отключаюсь от своих собственных серверов.