SSH密钥认证失败排查：从权限到服务端配置的深度解析

1. 问题背景与常见表现

在使用SSH进行远程登录时，即便已通过ssh-add ~/.ssh/id_rsa成功将私钥添加至SSH代理，仍可能遭遇“Permission denied (publickey)”错误。该问题看似简单，实则涉及客户端、服务端、文件系统权限、SSH代理状态及服务配置等多个层面。

典型报错信息如下：

debug1: Authentications that can continue: publickey
debug1: Next authentication method: publickey
debug1: Offering public key: /home/user/.ssh/id_rsa RSA SHA256:xxx
debug1: Server accepts key: /home/user/.ssh/id_rsa RSA SHA256:xxx
debug1: read_passphrase: reading password from /dev/tty
Enter passphrase for key '/home/user/.ssh/id_rsa': 

或直接中断并返回：

Permission denied (publickey).

2. 文件权限检查：基础但关键的安全机制

OpenSSH出于安全考虑，强制要求私钥和相关目录具备严格的权限控制。若权限过于宽松，SSH客户端或服务端会主动拒绝加载密钥。

• 本地私钥文件：~/.ssh/id_rsa 权限必须为 600（即 -rw-------）
• .ssh 目录：应设置为 700（drwx------），不可被其他用户读写
• 远程 authorized_keys 文件：位于服务器端，路径为 ~/.ssh/authorized_keys，推荐权限为 600
• 远程 .ssh 目录：权限应为 700，其父目录（如 ~）不应有写权限开放给组或其他用户

修复命令示例：

chmod 600 ~/.ssh/id_rsa
chmod 700 ~/.ssh
chmod 600 ~/.ssh/authorized_keys
chmod 700 ~/.ssh

3. SSH Agent 状态验证：确认密钥是否真正可用

即使执行了ssh-add，也不代表密钥已被持久加载。需验证代理运行状态及密钥列表。

命令	说明
eval $(ssh-agent)	启动 SSH Agent（如未运行）
ssh-add -l	列出当前已加载的密钥指纹
ssh-add ~/.ssh/id_rsa	手动添加指定私钥
ssh-add -D	清除所有已加载密钥（用于重置）

4. 服务端配置审查：sshd_config 的核心参数

远程服务器的 SSH 守护进程配置直接影响公钥认证能否启用。以下为关键配置项：

# /etc/ssh/sshd_config
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys
PasswordAuthentication no
PermitRootLogin prohibit-password
UsePAM yes

修改后需重启服务：

sudo systemctl restart sshd

注意：某些系统使用 sshd 或 ssh 作为服务名。

5. 排查流程图：结构化诊断路径

为系统化定位问题，设计如下Mermaid流程图：

graph TD
    A[开始] --> B{本地私钥权限600?}
    B -- 否 --> C[chmod 600 ~/.ssh/id_rsa]
    B -- 是 --> D{.ssh目录权限700?}
    D -- 否 --> E[chmod 700 ~/.ssh]
    D -- 是 --> F{SSH Agent运行且密钥已加载?}
    F -- 否 --> G[启动agent并ssh-add]
    F -- 是 --> H{远程.ssh目录权限700?}
    H -- 否 --> I[修复远程目录权限]
    H -- 是 --> J{authorized_keys权限600?}
    J -- 否 --> K[chmod 600 ~/.ssh/authorized_keys]
    J -- 是 --> L{sshd_config启用PubkeyAuthentication?}
    L -- 否 --> M[修改配置并重启sshd]
    L -- 是 --> N[连接成功]
    C --> D
    E --> F
    G --> H
    I --> J
    K --> L
    M --> N
    

6. 高级调试技巧：启用详细日志输出

使用-vvv参数可获取最详细的SSH连接过程：

ssh -vvv -i ~/.ssh/id_rsa user@remote-host

重点关注以下输出片段：

• Trying private key: ~/.ssh/id_rsa
• Sending public key ...
• Server accepts key 或 Key refused
• Authentication failed

服务端可通过临时启用调试模式查看：

sudo /usr/sbin/sshd -d -p 2222

然后从客户端连接 ssh -p 2222 user@host，观察实时日志。

7. SELinux 与 AppArmor 的潜在干扰

在RHEL/CentOS等系统中，SELinux可能阻止sshd读取authorized_keys文件，即使权限正确。

检查SELinux上下文：

ls -Z ~/.ssh/
restorecon -R ~/.ssh/  # 修复上下文

对于Ubuntu系统，AppArmor也可能限制访问，可通过dmesg | grep apparmor排查。

8. 公钥内容一致性校验

确保本地公钥与远程authorized_keys内容完全一致：

cat ~/.ssh/id_rsa.pub
# 对比以下输出：
ssh-rsa AAAAB3NzaC... user@local

远程服务器上执行：

cat ~/.ssh/authorized_keys

建议使用ssh-copy-id user@host自动完成公钥部署，避免手动复制出错。

9. 多因素环境下的复杂场景分析

在企业环境中，常存在：

• 多个密钥共存，需指定-i参数明确使用哪一个
• Kerberos/GSSAPI与公钥认证混合模式
• 智能卡或HSM支持的PKCS#11密钥
• Jump Host链式跳转中的代理转发问题

此时应结合ssh_config中IdentityFile和ForwardAgent精确控制行为。

10. 自动化检测脚本建议

编写Shell脚本定期检查关键权限设置：

#!/bin/bash
KEY="~/.ssh/id_rsa"
DIR="~/.ssh"
if [ "$(stat -c %a $KEY)" != "600" ]; then
    echo "警告：私钥权限错误"
fi
if [ "$(stat -c %a $DIR)" -gt 755 ]; then
    echo "警告：.ssh目录权限过高"
fi
# 可扩展至远程主机批量巡检

集成至CI/CD或运维监控体系，实现预防性维护。