ssh 密码登录报错Permission denied(publickey,gssapi-keyex,gssapi-with-mic,password)
当我启动一个虚拟机,想要像往常一样使用密码登录的时候,
sshpass -p 123456 ssh -o StrictHostKeyChecking=no root@127.0.0.1 -p 10087
注:这里俩个 '-p' ,第一个是密码,第二个是端口号
首先我检查端口是否正确监听
netstat -tlnp | grep 10087
ss -tlnp | grep 10087
测试联通性
telnet 127.0.0.1 10087
查看sshd是否启用:若为active 则为启动
systemctl status sshd
检查防火墙是否开启
systemctl status firewalld
均检查没问题,于是怀疑是ssh配置问题,并且uncomment俩行设置
vi /etc/ssh/sshd_configPasswordAuthentication yes
PermitRootLogin yes # 如果是PermitRootLogin prohibit-password,表示允许root登录,禁止使用密码登录,要comment这一行
然后重启sshd : systemctl restart sshd
但是问题没有被解决!
于是回头仔细看了一下报错:
Offending ED25519 key in /root/.ssh/known_hosts:2
Password authentication is disabled to avoid man-in-the-middle attacks.
在host上 /root/.ssh/known_hosts里有冲突的密钥,因为主机密钥不可信任,所以password authentication is disabled
于是 我删除了主机的knwon_hosts:
rm -rf /root/.ssh/known_hosts
然后启动虚拟机, 再ssh登录,这次可以了!
但是好久不长,又报错了
又去查看了虚拟机里/etc/sshd/ssh_config的结果
发现之前的设置小时了! 于是手动添加两行到config文件里
echo "PasswordAuthentication yes" >> /etc/ssh/ssh_config
echo "PermitRootLogin yes" >> /etc/ssh/sshd_config
然后restart ssh服务
systemctl restart sshd
这次ssh 又可以登上了
总结一下吧: 遇到ssh 登不上,或者报错等信息,先检查端口是否监听,这个最重要!
netstat -tlnp | grep :22 #in vm
netstat -tlnp | grep 10087 # in host
然后vm里检查ssh 配置
grep -E "PasswordAuthentication|PermitRootLogin|PubkeyAuthentication" /etc/ssh/sshd_config如果都不行,再去宿主机检查,谨慎删除,如果有必要,建议只删除端口对应的那行:
cat /root/.ssh/known_hosts
[127.0.0.1]:10087 ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIAjistGUFk/qqiOkeqjZ4pXpgWDLF1vTFoJL8aW8v6T+
最后插个题外话,在解决问题的时候,有解决方案提到检查 ~/.ssh/authorized_keys 里的内容和 ~/.ssh/known_hosts 的内容,那他们有什么区别呢
先看了一个大佬的帖子,链接放在这里了哈: 使用RSA 密钥对进行 SSH 登录验证https://www.cnblogs.com/qiangxia/p/4211517.html)
讲的是如何生成密钥,并上传,附了加密原理
那么回到我们的主题,ssh的authoritized_keys 和 known_hosts到底有什么区别,这里我找到了大佬的回答: what-is-the-difference-between-authorized-keys-and-known-hosts-file-for-ssh
简述一下答案,
就是~/.ssh/known_hosts文件是存储着已经连接过的服务器,如果写在文件里面,客户端就可以检查服务器是已知服务器,而不是冒充的恶意服务器;
当然,首次连接服务器的时候,客人端会获取并记录服务器的公钥,在每次连接的时候,客户端都会比对已知的的公钥和服务器的公钥,来验证服务器的真实性.
如果您拥有已经连接的服务器的公钥,则可以在~/.ssh/known_hosts手动添加
另外,~/.ssh/known_hosts包含ssh支持的任意类型的公钥: DSA, RSA, ECDSA
那么客户端这边登录server的时候要有验证,是不是在server上也应该有文件对用户进行身份验证呢,
所以~/.ssh/authorized_keys就存着相对应的验证方式.
除了我们正常的密码登录,如果在server端的~/.ssh/authorized_keys文件下存着我们主机的公钥,是不是就可以直接登录了呢?
有时候服务器为了防止被黑,只允许被添加进~/.ssh/authorized_keys开发人员登录,所以如果客户证明他知道私钥,公钥在账户的授权列表中(~/.ssh/authorized_keys服务器端),则登录尝试被接受.
用户的私钥用于生成一个加密的身份验证请求,该请求将被发送到服务器,服务器会尝试使用authorized_keys文件中的公钥对其进行解密。
小结一下:known_hosts 存在客户端, authroized_key放在服务端
那我的情况是
服务器更换了密钥/系统重装
需要先删除旧的密钥记录,然后再更新~/.ssh/known_hosts 文件,添加新的公钥
ssh-keygen -R [hostname_or_IP] # delete old key
ssh-keyscan -H [hostname_or_IP] >> ~/.ssh/known_hosts #update new key of server
或者也可以直接像我一样,移除~/.ssh/known_hosts 但是不推荐哦~
附:公钥加密技术