赞
踩
在阿里云上有一台Ubuntu 18.04 版本的服务器,今天使用 ssh 登陆时报错 “Permission denied (publickey)”;
登陆的客户端机器是新安装的 Ubuntu 22.04 机器;
为了安全,登陆方式一直使用的本地私钥登陆;
后续说明中,使用的假设条件
$ ssh -i .ssh/id_rsa bar@example.com
foo@example.com: Permission denied (publickey).
从提示看,应该是权限问题,这个服务器长时间没动过,还以为被黑了,密钥被替换了?
通过阿里云的网页版控制台登陆,使用了之前的私钥,可以顺利登陆,看来不是密钥内容的问题。
因为ssh对密钥文件和存储密钥的目录有很强权限要求,所以首先设置客户端机器中相关文件系统的权限。示例中假设使用的私钥文件名字是 id_rsa
$ chmod 700 /home/foo
$ chmod 700 /home/foo/.ssh
$ chmod 600 /home/foo/.ssh/id_rsa
下表罗列了 ssh 所涉及的相关文件和目录的权限要求。如果有相关的文件,按要求设置。
文件/文件夹 | 权限要求 |
---|---|
~/.ssh 目录 | 700 (drwx------) |
public keys | 644 (-rw-r–r–) |
private keys | 600 (-rw-------) |
authorized_keys | 600 (-rw-------) |
known_hosts | 600 (-rw-------) |
config | 600 (-rw-------) |
权限检查和设置完成后,再次登陆,仍然报相同错误! 看来不是文件系统权限错误导致的。
通过添加 -vvv 参数启用 ssh 登陆的详细调试信息,分析错误日志
$ ssh -vvv -i .ssh/id_rsa bar@example.com OpenSSH_8.9p1 Ubuntu-3, OpenSSL 3.0.2 15 Mar 2022 debug1: Reading configuration data /etc/ssh/ssh_config debug1: /etc/ssh/ssh_config line 19: include /etc/ssh/ssh_config.d/*.conf matched no files debug1: /etc/ssh/ssh_config line 21: Applying options for * ...... 省略.... ...... debug3: authmethod_is_enabled publickey debug1: Next authentication method: publickey debug1: Offering public key: .ssh/id_rsa RSA SHA256:CU98bg6gzau/W/nrC+SfwnSpQdozsObTdbOh/ac4M9I explicit agent debug1: send_pubkey_test: no mutual signature algorithm debug1: Offering public key: /home/foo/.ssh/id_rsa RSA SHA256:1V9z05gv0vCLh5QtTrU9eE5Cjlgo9MKqIyva+MQZDTo agent debug1: send_pubkey_test: no mutual signature algorithm debug2: we did not send a packet, disable method debug1: No more authentication methods to try. bar@example.com: Permission denied (publickey)
从详细日志分析,可见问题出在报错 “send_pubkey_test: no mutual signature algorithm” 的地方。
在搜索引擎里搜索错误信息,发现错误的原因是由于最新的 Ubuntu 22.04 操作系统中的 ssh 服务默认不支持 RSA 前面算法,而服务器端的 Ubuntu 18.04 使用的还是老版本 ssh。两者没用共同匹配的签名算法,所以登陆失败了。不过这个权限拒绝的报错 “Permission denied” 信息不太准确,容易误导用户。
下图是文章从 SSH-RSA key rejected with message “no mutual signature algorithm” 文章中的截图
根据文章提示,需要在客户端高版本的 ssh 的配置文件中增加 PubkeyAcceptedKeyTypes +ssh-rsa 选项增加对 rsa 算法的支持。
PS: 注意要修改的文件是客户端的 ssh_config 配置文件,不是大家经常修改的 sshd 服务器端的配置文件。
$ echo "PubkeyAcceptedKeyTypes +ssh-rsa" | sudo tee -a /etc/ssh/ssh_config
$ ssh -i .ssh/id_rsa bar@example.com
最终解决了问题,登陆成功。
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。