SSH连接中科方德服务器“Permission denied”问题深度解析

1. 问题背景与现象描述

在运维国产化操作系统环境时，SSH远程连接是日常操作中最基础的手段之一。然而，在使用SSH连接中科方德（Zhongke Fangde）服务器时，常出现“Permission denied (publickey,password)”或“Permission denied”错误。该问题不仅影响开发与维护效率，更可能暴露系统安全策略配置不当。

中科方德基于Linux内核深度定制，为满足等保及信创要求，默认安全策略较为严格。其中一项关键设置便是：禁用密码认证，即在/etc/ssh/sshd_config中将PasswordAuthentication设为no，从而强制使用密钥登录。

2. 常见原因分析（由浅入深）

• 层级一：认证方式被禁用 —— PasswordAuthentication no 直接阻止密码登录。
• 层级二：用户权限限制 —— 用户未加入允许SSH登录的组（如wheel），或AllowUsers/DenyUsers配置过滤了当前账户。
• 层级三：密钥文件权限不当 —— 若使用密钥登录，私钥权限600、公钥authorized_keys目录权限700为硬性要求。
• 层级四：SELinux或防火墙拦截 —— SELinux上下文异常或iptables/firewalld规则阻断SSH端口（默认22）。
• 层级五：PAM模块干预 —— PAM（Pluggable Authentication Modules）策略可能附加额外认证逻辑，导致拒绝访问。

3. 核心配置项检查与修复流程

4. 实际操作步骤示例

1. 通过本地控制台或KVM登录服务器，避免网络中断影响调试。
2. 编辑SSH主配置文件：

   # 编辑sshd配置
   sudo vi /etc/ssh/sshd_config
   
   # 修改以下行
   PasswordAuthentication yes
   PubkeyAuthentication yes
   

3. 保存后重启SSH服务：

   # 重启sshd
   sudo systemctl restart sshd
   
   # 验证状态
   sudo systemctl status sshd
   

4. 检查用户家目录及密钥权限：

   chmod 700 ~/.ssh
   chmod 600 ~/.ssh/authorized_keys
   chown -R user:user ~/.ssh
   

5. 安全策略与国产系统特性适配

中科方德作为国产操作系统代表，其安全加固策略往往集成于系统镜像中。例如：

• 默认关闭密码登录以符合《网络安全等级保护基本要求》。
• 启用auditd审计日志监控异常登录行为。
• 集成国密算法支持（SM2/SM3/SM4），需注意OpenSSH版本兼容性。

因此，在调整PasswordAuthentication时，应评估业务场景是否允许密码登录，若为高安全区，建议保留密钥认证并加强密钥管理流程。

6. 故障排查流程图（Mermaid）

graph TD
    A[SSH连接提示Permission denied] --> B{是否能本地登录?}
    B -->|否| C[检查系统状态、磁盘、SELinux]
    B -->|是| D[检查/etc/ssh/sshd_config]
    D --> E[PasswordAuthentication=yes?]
    E -->|否| F[修改为yes并重启sshd]
    E -->|是| G[检查用户权限与authorized_keys]
    G --> H[验证密钥权限600/700]
    H --> I[检查firewalld/iptables]
    I --> J[PAM配置是否限制登录?]
    J --> K[最终测试连接]

7. 扩展建议：构建安全且高效的SSH运维体系

针对企业级应用场景，建议采取如下措施：

• 统一部署SSH密钥对，结合自动化工具（Ansible/Terraform）管理主机访问。
• 启用双因素认证（如Google Authenticator + PAM）提升安全性。
• 配置日志集中收集（ELK/Splunk）监控所有SSH登录尝试。
• 定期审计/etc/ssh/sshd_config配置，防止人为误改。
• 使用非标准端口+Fail2Ban防御暴力破解攻击。