现象
最近把Jenkins从2.401.3升级至2.428后(严格来说,是JSch插件从0.1.x升级到了0.2.x后),原先能正常工作的部分Pipeline无法执行,报错信息为:
com.jcraft.jsch.JSchAlgoNegoFailException: Algorithm negotiation fail: algorithmName="server_host_key" jschProposal="ssh-ed25519,ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521,rsa-sha2-512,rsa-sha2-256" serverProposal="ssh-rsa,ssh-dss"
原因分析
错误信息的大意是客户端和服务端使用的算法无法兼容,其中 jschProposal 是我们的Jenkins SSH插件启用的算法列表,而 serverProposal 是服务端支持的算法列表。
出现这种情况,多半是ssh服务端版本太低,算法过时(比如 CentOS / RedHat 6 自带的 sshd),而新版本的Jenkins的 JSch dependency plugin 0.2.x 默认禁用了这些算法,参考 JSch v0.2.0 的 Release:Release v0.2.0 · mwiede/jsch (github.com)
https://github.com/mwiede/jsch/releases/tag/jsch-0.2.0
解决
JSch官方也提出了几个兼容老系统的方案,参考:mwiede/jsch: fork of the popular jsch library (github.com)https://github.com/mwiede/jsch#why-do-ssh-rsa-type-keys-not-work-with-this-jsch-fork-and-my-server
这里放一个验证过可行的方案,就是让 JSch 支持 ssh-rsa(ssh-dss同理):
修改jenkins启动命令,添加系统属性 -Djsch.client_pubkey 和 -Djsch.server_host_key,JSch运行时会读取该属性,覆盖默认配置。
这两个属性的值实际上就是把报错信息里的 jschProposal 拿过来,在后面追加一个 ssh-rsa。
java -jar \
-Djsch.client_pubkey=ssh-ed25519,ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521,rsa-sha2-512,rsa-sha2-256,ssh-rsa \
-Djsch.server_host_key=ssh-ed25519,ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521,rsa-sha2-512,rsa-sha2-256,ssh-rsa \
jenkins-2.428.war --prefix=/jenkins结语
这次发生问题的Jenkins插件版本比较新,还算热乎,暂时也没有搜到相关中文资料,所以分享出来。
也试过官方提到的其他方案,比如调整Jenkins所在服务器的 /etc/ssh/ssh_config、~/.ssh/config 等配置文件,根本没有效果,可能是因为Jenkins里的JSch是经过 SSH Pipeline Steps 插件封装调用的,没有读取这些配置(当然也不排除是我调整的姿势不对)。
480
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
