最近多次遇到不同原因导致ssh免密钥登录的问题,明明都配置好了,但是就是不通。
这里记录一下排查问题的思路,作为备忘。
具体如何配置,网上文章很多,这里就不再重复。
查看debug日志很关键
客户端:参数加-v,比如ssh -v xxx.com
服务端:vim /etc/ssh/sshd_config修改日志等级为DEBUG
LogLevel INFO
改为
LogLevel DEBUG
重启sshd: systemctl restart sshd
然后通过tail -f /var/log/sshd.log查看日志
场景一
ssh时报:
ssh_exchange_identification: read: Connection reset by peer
查看客户端日志,发现都还没开始进行public key认证。
服务端sshd日志:
debug1: Connection refused by tcp wrapper
refused connect from 172.19.103.2 (172.19.103.2)
这个原因是因为在/etc/hosts.deny中配置了
sshd:ALL
默认策略是全部拒绝,直接把sshd:ALL这个配置删掉,或者/etc/hosts.allow中把对应的ip加上,问题得到解决。
场景二
ssh时报:
Permission denied (publickey).
客户端debug信息看不出啥,看服务端sshd日志:
Authentication refused: bad ownership or modes for file /root/.ssh/authorized_keys
然后发现~/.ssh/authorized_keys文件的所有者居然不是当前用户。。。不知道被是改了,坑。。。改完以后可正常ssh登录
场景三
ssh时报:
···
Permission denied (publickey).
···
客户端日志正常。
服务端日志:
Failed publickey for root from 172.19.103.2 port 60516
Connection closed by 172.19.103.2 port 60516
重点是"Failed publickey for root"这句。难道是公钥不对?再仔细检查~/.ssh/authorized_keys文件里面配置的公钥,果然发现复制的时候少了一个s。。。