故障排查:SSH连接失效的四大常见原因

作为DevOps或者IT专业人士，人们往往困扰于为何无法通过SSH接入服务器。这种情况时有发生，且相当令人头痛。

在今天的文章中，我们将尝试汇总各类常见SSH故障原因，从而帮助大家更为顺畅地加以解决。

1.我们的SSH公钥未被注入至服务器

以密码形式实现的SSH非常危险。目前，绝大多数服务器都仅接受以密钥文件为载体的SSH。以下为具体流程：

我们生成一个SSH密钥对(也可以更进一步，以密码保护私钥)。

将SSH公钥发送至服务器管理者处。

管理员将我们的SSH公钥进行注入(通常为~/.ssh/authorized_keys)。

之后即可使用SSH。

好了，下面正式来看各类最常见的SSH故障!

 
 
 
 
  
  
  
  denny@laptop:/# ssh root@www.dennyzhang.com
  
  
  
  Permission denied (publickey).

以上故障信息可能存在两种原因：

(1). 私钥不具备登录权限。公钥未被正确注入或者公钥已经丢失。

注意：如果暂时联系不到运维/DevOps人员，可先考虑团队中还有谁能够进行SSH接入。事实上，任何可以SSH接入的人员都可执行此类变更。

(2). 本地SSH公钥与私钥未正确配对。

在连接之前，SSH会检查我们的公钥与私钥是否正确进行了配对。如果没有，其会以静默方式拒绝使用私钥。没错，静默方式。

这种错误很可能源自某些指生成的自动化脚本。另外，如果我们只使用一条未匹配公钥的有效私钥，并不会引发错误。

2.防火墙阻止我们进行连接

出于安全考量，人们可能会执行一项较为严格的防火墙策略，这意味着只有特定IP能够建立SSH连接。

 
 
 
 
  
  
  
  denny@laptop:/# ssh root@www.dennyzhang.com
  
  
  
  ssh: connect to host www.dennyzhang.com port 22: Connection refused
  
  
  
  
  
  
  
  # Confirm with telnet. Usually it shall connect in seconds
  
  
  
  denny@laptop:/# telnet www.dennyzhang.com
  
  
  
  Trying 104.237.149.124...

遇到上述情况，大家可能希望马上寻求帮助——先别急。

人们可能重新配置SSHD以监听其它端口。您是否确定其为端口22?另外，也应当再次检查服务器IP与DNS名称。

在确认之后，与DevOps取得联系。这就引发了此类故障的第二种可能原因：SHHD并未上线运行。虽然很少见，但这一问题确实可能出现。这时DevOps与运维人员需要立即采取行动。

3. 主机密钥检查失败

当初次看到以下警报时，大家可能感到困惑。简单来说，其能够帮助我们避免中间人攻击。

 
 
 
 
  
  
  
  denny@laptop:/# ssh root@www.dennyzhang.com
  
  
  
  @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
  
  
  
  @       WARNING: POSSIBLE DNS SPOOFING DETECTED!          @
  
  
  
  @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
  
  
  
  The ECDSA host key for [www.dennyzhang.com]:22 has changed,
  
  
  
  and the key for the corresponding IP address [45.33.87.74]:22
  
  
  
  is unknown. This could either mean that
  
  
  
  DNS SPOOFING is happening or the IP address for the host
  
  
  
  and its host key have changed at the same time.
  
  
  
  @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
  
  
  
  @    WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!     @
  
  
  
  @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
  
  
  
  IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
  
  
  
  Someone could be eavesdropping on you right now (man-in-the-middle attack)!
  
  
  
  It is also possible that a host key has just been changed.
  
  
  
  The fingerprint for the ECDSA key sent by the remote host is
  
  
  
  37:df:b3:af:54:a3:57:05:aa:32:65:fc:a8:e7:f9:3a.
  
  
  
  Please contact your system administrator.
  
  
  
  Add correct host key in /root/.ssh/known_hosts to get rid of this message.
  
  
  
  Offending ECDSA key in /root/.ssh/known_hosts:2
  
  
  
    remove with: ssh-keygen -f "/root/.ssh/known_hosts" -R [www.dennyzhang.com]:22
  
  
  
  ECDSA host key for [www.dennyzhang.com]:22 has changed and you have requested strict checking.
  
  
  
  Host key verification failed.

每台服务器都拥有一条指纹。如果该服务器被重新配置或者单纯被更换为另一台不同服务器，则指纹亦将有所变化。在成功登录之后，我们的笔记本会本地保存服务器指纹。在下一次登录时，其将首先进行比较。如果指纹不匹配，我们就会收到以上警报。

如果我们砍服务器最近进行过重新配置，则可忽略该警报。从~/.ssh/known_hosts中移除此入口，或者直接清空该文件。大家甚至可以关闭一切SSH主机密钥检查(当然，不建议采取这种方法)。

4. SSH密钥文件模式存在问题

SSH密钥文件具备自我保护属性，这意味着其无法被随意打开。该文件模式为0600或者0400。

 
 
 
 
  
  
  
  denny@laptop:/# ssh -i id_rsa root@www.dennyzhang.com
  
  
  
  @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
  
  
  
  @         WARNING: UNPROTECTED PRIVATE KEY FILE!          @
  
  
  
  @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
  
  
  
  Permissions 0644 for 'id_rsa' are too open.
  
  
  
  It is required that your private key files are NOT accessible by others.
  
  
  
  This private key will be ignored.
  
  
  
  bad permissions: ignore key: id_rsa
  
  
  
  Permission denied (publickey).

大家可以使用-v输出详尽信息：ssh -v $user@$server_ip。

网页名称：故障排查:SSH连接失效的四大常见原因
文章地址：http://www.hantingmc.com/qtweb/news18/453118.html

网站建设、网络推广公司-创新互联，是专注品牌与效果的网站制作，网络营销seo公司；服务项目有等

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源：创新互联

猜你还喜欢下面的内容