背景
最近服务器升级了SSH,旧版本:OpenSSH_8.4p1, OpenSSL 3.0.8,升级后的新版本:OpenSSH_9.3p1, OpenSSL 3.0.9。升级后,发现Jenkins无法构建项目,原因是在SSH连接服务器时,报Algorithm negotiation fail。
问题排查
1、查看Jenkins具体报错信息,发现在maven构建完项目,调用插件:ant-jsch 上传war包到web应用服务器时,SSH连接报错:Algorithm negotiation fail。找到插件ant-jsch 使用的jsch客户端的版本:0.1.50。
2、SSH交互可以分为三个阶段:连接建立阶段、用户身份验证阶段、会话阶段。
根据报错基本可以确认,是SSH建立连接阶段出现问题,连接建立阶段报文如下:
SSH_MSG_KEXINIT:用于客户端和服务器之间的密钥交换初始化。
SSH_MSG_NEWKEYS:表示密钥交换完成。
3、通过命令 ssh -vvv ip 可以看到服务器支持的算法
可以看出远程端支持的
交换算法:diffie-hellman-group-exchange-sha256,diffie-hellman-group14-sha1,diffie-hellman-group-exchange-sha1,diffie-hellman-group1-sha1
加密算法: rsa-sha2-512,rsa-sha2-256,ssh-ed25519
查看jsch源码,其支持的
交换算法:diffie-hellman-group1-sha1,diffie-hellman-group14-sha1,diffie-hellman-group-exchange-sha1
加密算法:ssh-rsa,ssh-dss
对比发现:加密算法客户端和服务端对不上,导致算法协商失败。
4、登录服务器,并通过下述命令查询支持的算法
ssh -Q HostKeyAlgorithms
可知,服务器支持ssh-rsa算法
5、修改服务器SSH配置
在文件/etc/ssh/sshd_config 加上如下配置
HostKeyAlgorithms ssh-rsa,ssh-ed25519,rsa-sha2-256,rsa-sha2-512
6、验证
重新构建发布Jenkins对应项目,构建发布成功
总结
1、相应知识储备。SSH建立连接的交互过程
2、分析过程要有思路。确定问题所处节点,并通过查阅资料了解节点运行情况,排查定位出问题