Значение «Соединение закрыто ххх [preauth]» в логах sshd

У нас есть пакетный скрипт Windows, который автоматически подключается к серверу Linux через PLINK (putty). НЕТ аутентификации с использованием открытого личного ключа, пользователь и пароль указаны в скрипте.

На нашем сервере Linux у нас есть несколько записей журнала sshd (/ var / log / messages):

sshd[7645]: Connection closed by xxx [preauth]

Что может быть причиной для такого сообщения?
«preauth» вероятно означает «предварительная аутентификация»?

Иногда в записи «closed by» есть ip-адрес клиента windows, в другой раз ip-адрес сервера linux находится в «closed by». Кто-нибудь знает различие между IP-адресом клиента и IP-адресом хоста в сообщении?

sshdСервер будет отключен , если клиент не пытается проверить подлинность в течение определенного периода времени, как описано в -gварианте.

 -g login_grace_time
         Gives the grace time for clients to authenticate themselves
         (default 120 seconds).  If the client fails to authenticate
         the user within this many seconds, the server disconnects
         and exits.  A value of zero indicates no limit.

Поэтому я подозреваю, что если вы видите IP-адрес сервера в журналах с этим сообщением, соединение было закрыто, поскольку в течение этого льготного периода не было попыток аутентификации. Когда вы видите IP-адрес клиента, это означает, что пользователь закрыл свой клиент (или сценарий завершился) без попытки аутентификации.

В моем случае эти сообщения появлялись в / var / log / secure, когда у меня возникали Host key verification failed.ошибки на стороне клиента ssh. Это один из случаев, когда соединение будет выполняться без попытки входа в систему.

У меня была очень похожая проблема с вашей (хотя я использовал открытый ключ).

Оказывается, моя проблема, и, возможно, ваша, была вызвана тем, что мой домашний каталог был NFS-монтированием, а selinux (в CentOS 7) выдавал некоторые ошибки (которые было довольно трудно отследить). Исправление было простым, хотя.

setsebool -P use_nfs_home_dirs 1 

Другой источник такого рода сообщений ssh-keyscan. Он просто захватывает ключи хоста сервера и отключается без какой-либо аутентификации.

Одним из источников этих сообщений является https://sshcheck.com/, который отображает возможные недостатки на вашем сервере SSH.

Это вызывает около 4 из этих сообщений последовательно.

У меня была такая же проблема, я решил ее так:

На сервере ssh я раскомментировал и поставил в yes следующие значения в / etc / ssh / sshd_config

 RSAAuthentication yes
 PubkeyAuthentication yes

А потом:

sudo service sshd restart

Я сталкивался с такой же ситуацией, потому что iptablesправилом INPUT было DROP, но ПРИНИМАЮ на ответный хост, но там нет правилаiptables -I INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

Журнал ошибок "Nov 3 01:34:50 debian sshd[29378]: Connection closed by 10.17.64.13 [preauth]"был записан "/var/log/auth.log"на клиентском компьютере после того, как команда ansible all -m pingбыла выполнена на хосте ansible.

Потому что пакет ping получил клиентом, но не вернулся на ANSIBLE хост.