问题[openssh](computer)

Centos 6 - 2.6.32-573.el6.x86_64 #1 SMP 星期四 7 月 23 日 15:44:03 UTC 2015 x86_64 x86_64 x86_64 GNU/Linux

我编译了 openssl-3.0.16。现在我正在尝试编译 openssh-9.9p2。

./configure --prefix=/usr --with-pam --with-selinux --with-privsep-path=/var/lib/sshd/ --sysconfdir=/etc/ssh --with-ssl-dir=/usr/local/include/openssl

我得到：

checking for openssl... /usr/local/bin/openssl
checking for openssl/opensslv.h... yes
checking OpenSSL header version... 30000100 (OpenSSL 3.0.16 11 Feb 2025)
checking for OpenSSL_version... no
checking for OpenSSL_version_num... no
checking OpenSSL library version... not found
configure: error: OpenSSL library not found.

我发现这个“OpenSSL_version_num() 是否已弃用？#17517” https://github.com/openssl/openssl/issues/17517

我看不到任何与 X11 转发相关的消息。我使用 Windows 10 作为客户端，使用 Raspberry pi 4（debian buster）作为服务器

steven@DESKTOP-8EMNIS1 ~
$ ssh pi4 -Y -v
OpenSSH_for_Windows_8.1p1, LibreSSL 3.0.2
debug1: Connecting to pi4 [fe80::b5d0:4a20:7aac:baea%3] port 22.
debug1: Connection established.
debug1: identity file C:\\Users\\steven/.ssh/id_rsa type -1
debug1: identity file C:\\Users\\steven/.ssh/id_rsa-cert type -1
debug1: identity file C:\\Users\\steven/.ssh/id_dsa type -1
debug1: identity file C:\\Users\\steven/.ssh/id_dsa-cert type -1
debug1: identity file C:\\Users\\steven/.ssh/id_ecdsa type -1
debug1: identity file C:\\Users\\steven/.ssh/id_ecdsa-cert type -1
debug1: identity file C:\\Users\\steven/.ssh/id_ed25519 type -1
debug1: identity file C:\\Users\\steven/.ssh/id_ed25519-cert type -1
debug1: identity file C:\\Users\\steven/.ssh/id_xmss type -1
debug1: identity file C:\\Users\\steven/.ssh/id_xmss-cert type -1
debug1: Local version string SSH-2.0-OpenSSH_for_Windows_8.1
debug1: Remote protocol version 2.0, remote software version OpenSSH_7.9p1 Raspb
ian-10+deb10u2+rpt1
debug1: match: OpenSSH_7.9p1 Raspbian-10+deb10u2+rpt1 pat OpenSSH* compat 0x0400
0000
debug1: Authenticating to pi4:22 as 'steven'
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: algorithm: curve25519-sha256
debug1: kex: host key algorithm: ecdsa-sha2-nistp256
debug1: kex: server->client cipher: chacha20-poly1305@openssh.com MAC: <implicit
> compression: none
debug1: kex: client->server cipher: chacha20-poly1305@openssh.com MAC: <implicit
> compression: none
debug1: expecting SSH2_MSG_KEX_ECDH_REPLY
debug1: Server host key: ecdsa-sha2-nistp256 SHA256:ubyhDQ0qt2j1WcMpHZlhbnGdzenQ
e6vf5ON+bm08LRI
debug1: Host 'pi4' is known and matches the ECDSA host key.
debug1: Found key in C:\\Users\\steven/.ssh/known_hosts:6
debug1: rekey out after 134217728 blocks
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug1: SSH2_MSG_NEWKEYS received
debug1: rekey in after 134217728 blocks
debug1: pubkey_prepare: ssh_get_authentication_socket: No such file or directory
debug1: Will attempt key: C:\\Users\\steven/.ssh/id_rsa
debug1: Will attempt key: C:\\Users\\steven/.ssh/id_dsa
debug1: Will attempt key: C:\\Users\\steven/.ssh/id_ecdsa
debug1: Will attempt key: C:\\Users\\steven/.ssh/id_ed25519
debug1: Will attempt key: C:\\Users\\steven/.ssh/id_xmss
debug1: SSH2_MSG_EXT_INFO received
debug1: kex_input_ext_info: server-sig-algs=<ssh-ed25519,ssh-rsa,rsa-sha2-256,rs
a-sha2-512,ssh-dss,ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521>
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug1: Authentications that can continue: publickey,password
debug1: Next authentication method: publickey
debug1: Trying private key: C:\\Users\\steven/.ssh/id_rsa
debug1: Trying private key: C:\\Users\\steven/.ssh/id_dsa
debug1: Trying private key: C:\\Users\\steven/.ssh/id_ecdsa
debug1: Trying private key: C:\\Users\\steven/.ssh/id_ed25519
debug1: Trying private key: C:\\Users\\steven/.ssh/id_xmss
debug1: Next authentication method: password
debug1: read_passphrase: can't open /dev/tty: No such file or directory

我有一个装有 ed25519 证书的 Yubikey。其中之一是身份验证证书。我可以通过 running 导出 sha gpg --export-ssh-key {key_id}，并且 runninggpg-connect-agent readkey {keygrip}似乎导出了我所期望的公钥，所以我认为它运行正常。我已经在 gpg 代理中启用了详细调试和日志记录，但我在那里看不到很多东西，即使我从连接代理运行命令也是如此。

我正在运行 windows openbsd ssh 代理，它似乎不想与 gpg 代理通信，我无法从中获取任何调试信息。我在这里陷入了死胡同，不知道该去哪里，我已按照本指南https://developers.yubico.com/PGP/SSH_authentication/Windows.html并尝试了几个 gpg 版本，但我开始了认为这可能是 windows ssh 代理的问题。

这似乎是一件简单的事情，但我被困住了。

在 Ubuntu 机器上，通过 ssh 进入特定REMOTE_HOST机器，直到现在我都可以

ssh REMOTE_HOST

正如预期的那样（键都设置好）。现在，我被迫通过一台特定的BRIDGE_HOST机器设置一个 ssh 隧道

ssh -L 2222:REMOTE_HOST:22 BRIDGE_HOST -N -f

然后我可以使用 ssh 到 REMOTE_HOST

ssh -p 2222 localhost

尽管事情有点复杂，但这工作得很好。这里有几个问题：

• localhost运行 OpenSSH_7.2p2 所以没有 -J / ProxyJump 选项，如果这有帮助的话。我无法更新 OpenSSH，或者至少我宁愿​​避免它。

• 我必须REMOTE_HOST使用密码登录，所以我需要使用sshpass（请不要告诉我不应该，我无法控制）。所以ssh上面的第一个命令并不完全如图所示，而是更复杂；然而，我认为它没有增加任何内容来显示更复杂的版本。但这是我的一个限制，我担心会阻止一些更清洁的解决方案。

• 没有外壳，REMOTE_HOST据我所知（或我理解）我只被允许设置隧道。

无论如何，我可以通过这两个步骤 ssh 进入REMOTE_HOST，但我想做的是隐藏所有这些.ssh/config以使其透明（尤其是对于 CVS，见下文）。这样的事情似乎很好：

Host REMOTE_HOST
   Hostname localhost
   Port 2222
   ProxyCommand tcsh -c "ssh -L 2222:REMOTE_HOST:22 BRIDGE_HOST -N -f; nc %h %p"

如果我现在跑

ssh REMOTE_HOST

我可以 ssh 进入REMOTE_HOST，就好像隧道不存在一样。伟大的。

复杂性（和问题）的最终来源是我想将此 ssh 连接也用于 CVS。从 CVS 方面来看，一切都设置得很好（例如，当我不必使用它时它可以工作BRIDGE_HOST）。如果我现在跑

cvs up

在适当的目录中，一切似乎都运行良好......但是该cvs命令在正确完成其工作后永远不会终止。我似乎明白这是因为创建隧道的 ssh 最终仍在运行。我很乐意杀死它，但我不知道如何杀死它。相关地，请注意，如果我省略ProxyCommand了 in.ssh/config并且之前手动设置了隧道，那么一切都很好，CVS 运行顺利（并终止）。我会忘记ProxyCommand并设置，autossh但我知道它不适用于sshpass. 我可以设置一个 cron 作业或一些手动保持隧道活动的脚本，但我认为（或希望）必须有更好的方法......

实现我想要的结果的正确、最简单和最干净的方法是什么？也就是说，cvs尽管插入了BRIDGE_HOST我无法控制的内容，但仍然像往常一样简单地使用？

我Cygwin在 Windows 10 上使用了很多年，并ssh用于访问 AWS EC2 Amazon Linux 实例进行开发。最近，我买了一台新的 Windows 10 PC，Cygwin以通常的方式安装，然后突然ssh停止工作，出现“ Permission denied (publickey). ”任何使用错误。经过各种检查和猜测可能出了什么问题（它在我的旧电脑上仍然可以正常工作），我尝试将Cygwin包降级为OpenSSH. 这解决了问题！相反，升级Cygwin包OpenSSH在我的旧 PC 上以与新 PC 相同的方式破坏它。这是新 PC 上的输出，显示它被最新的软件包破坏，并使用稍旧的软件包。我在两个输出之间做的唯一一件事就是运行Cygwin安装程序并降级OpenSSH软件包。

请注意，这两个软件包都报告了相同的底层版本OpenSSL“ OpenSSL 1.1.1l ”，因此这似乎是软件包本身的问题。

有任何想法吗？

repete@Rich-QX411 ~/.ssh
$ ssh -V
OpenSSH_8.8p1, OpenSSL 1.1.1l  24 Aug 2021

repete@Rich-QX411 ~/.ssh
$ ssh repete@dev.osh echo hello
repete@dev.osh: Permission denied (publickey).

======== Downgrade the OpenSSH package in another window ========

repete@Rich-QX411 ~/.ssh
$ ssh -V
OpenSSH_8.7p1, OpenSSL 1.1.1l  24 Aug 2021

repete@Rich-QX411 ~/.ssh
$ ssh repete@dev.osh echo hello
hello

repete@Rich-QX411 ~/.ssh

我用这个命令创建了一个公钥/私钥对：

ssh-keygen -t rsa -b 4096 -f my-trusted-key -C "Just a public/private key"  

我可以打开私钥文件，我看到：

$ cat my-trusted-key -----BEGIN OPENSSH PRIVATE KEY----- b3BlbnNzaC1rZXktdjEAAAAABG5vbmUAAAAEbm9uZQAAAAAAAAABAAACFwAAAAdzc2gtcn 等

但是当我运行以下命令时：

$ openssl rsa -in my-trusted-key -text -inform PEM -noout

我收到以下错误

无法加载私钥 4506685036:error:09FFF06C:PEMroutines:CRYPTO_internal:no start line:/AppleInternal/BuildRoot/Library/Caches/com.apple.xbs/Sources/libressl/libressl-47.140.1/libressl-2.8/crypto /pem/pem_lib.c:684：期望：任何私钥

这里有什么问题，它失败了？

更新
@garethTheRed 发表评论后，我使用 openssl 创建了一个私钥，如下所示：

$ openssl genrsa -out anotherkey.key 2048  

我可以看到：

$ cat anotherkey.key -----BEGIN RSA PRIVATE KEY----- MIIEogIBAAKCAQEAuc3m0tXo8UQvF8CJi9Cy7580WxfKvFHYZ3F06Uh19s9c51R/

现在命令有效，即

openssl rsa -in anotherkey.key -text -inform PEM -noout

私钥：（2048 位）模数：00:b9:cd:e6:d2:d5:e8:f1:44:2f:17:c0:89:8b:d0: b2:ef:9f:34:5b: 17:ca:bc:51:d8:67:71:74:e9:48

但我不明白其中的区别。这两个文件都是 PEM 格式，在查看时都使用cat相同的格式。
那么为什么生成的pemssh-keygen会被拒绝呢？

有一个非常奇怪的问题，我自己无法解决。

带有 openssh 8.8p1-1 的 Archlinux 服务器我没有使用密码进行身份验证，只使用 SSH-RSA 密钥。公钥存储在 /home/stiw47/.ssh/authorized_keys 内的服务器上 .ssh 目录权限为 700，authorized_keys 文件权限为 600 多年来一切都完美无缺，直到几天前服务器上的 openssh 从 8.7p1-2 更新到8.8p1-1 除 MobaXterm 外，所有 ssh/sftp 客户端中的一切仍在运行。

让我试着更好地解释一下：

• 如果我尝试从 FileZilla (sftp) 或 Android 上的 JuiceSSH (ssh) 进行连接，那么与所有这些年来一样，使用相同的私钥一切正常。
• 如果我尝试从其他 Linux 机器上的终端或 MobaXterm 终端手动连接，手动我的意思是使用命令：ssh -i 'C:\Users\stiw4\Documents\keys\id_rsa' stiw47@192.168.0.21- 一切正常
• 如果我尝试在 MobaXterm 中使用书签（我喜欢书签），则会收到“服务器拒绝我们的密钥”消息

MobaXterm 书签区截图

我不得不提到同样的书签，使用相同的私钥，在服务器上的 openssh 包升级之前正常工作，如果我将服务器上的 openssh 降级回 8.7p1-2，现在也可以工作我已经删除了 Windows 机器上的 MobaXterm known_hosts 文件，但没有改变了。

我试图通过在服务器上运行以下命令来调试它：

sudo `which sshd` -p 2020 -Dd

从 2020 端口上的书签连接，这是日志，我不太理解：

[sudo] password for stiw47:
debug1: sshd version OpenSSH_8.8, OpenSSL 1.1.1l  24 Aug 2021
debug1: private host key #0: ssh-rsa SHA256:uMBMgYez8RvbToK8ZpuVIOT6Kt9DtjwvEEmObduXSaw
debug1: private host key #1: ecdsa-sha2-nistp256 SHA256:s/mpg8gbKeFRefGxYjuHYgXFkL8KrklpgivPk9veSXI
debug1: private host key #2: ssh-ed25519 SHA256:MopYaB4XAi8QBkE+RumfZl6IT3y17c3Mu85X+11+wRY
debug1: rexec_argv[0]='/usr/bin/sshd'
debug1: rexec_argv[1]='-p'
debug1: rexec_argv[2]='2020'
debug1: rexec_argv[3]='-Dd'
debug1: Set /proc/self/oom_score_adj from 0 to -1000
debug1: Bind to port 2020 on 0.0.0.0.
Server listening on 0.0.0.0 port 2020.
debug1: Bind to port 2020 on ::.
Server listening on :: port 2020.
debug1: Server will not fork when running in debugging mode.
debug1: rexec start in 5 out 5 newsock 5 pipe -1 sock 8
debug1: sshd version OpenSSH_8.8, OpenSSL 1.1.1l  24 Aug 2021
debug1: private host key #0: ssh-rsa SHA256:uMBMgYez8RvbToK8ZpuVIOT6Kt9DtjwvEEmObduXSaw
debug1: private host key #1: ecdsa-sha2-nistp256 SHA256:s/mpg8gbKeFRefGxYjuHYgXFkL8KrklpgivPk9veSXI
debug1: private host key #2: ssh-ed25519 SHA256:MopYaB4XAi8QBkE+RumfZl6IT3y17c3Mu85X+11+wRY
debug1: inetd sockets after dupping: 3, 3
Connection from 192.168.0.53 port 50385 on 192.168.0.21 port 2020 rdomain ""
debug1: Local version string SSH-2.0-OpenSSH_8.8
debug1: Remote protocol version 2.0, remote software version MoTTY_Release_0.73
debug1: compat_banner: no match: MoTTY_Release_0.73
debug1: permanently_set_uid: 65534/65534 [preauth]
debug1: list_hostkey_types: rsa-sha2-512,rsa-sha2-256,ecdsa-sha2-nistp256,ssh-ed25519 [preauth]
debug1: SSH2_MSG_KEXINIT sent [preauth]
debug1: SSH2_MSG_KEXINIT received [preauth]
debug1: kex: algorithm: diffie-hellman-group-exchange-sha256 [preauth]
debug1: kex: host key algorithm: ssh-ed25519 [preauth]
debug1: kex: client->server cipher: aes256-ctr MAC: hmac-sha2-256 compression: none [preauth]
debug1: kex: server->client cipher: aes256-ctr MAC: hmac-sha2-256 compression: none [preauth]
debug1: expecting SSH2_MSG_KEX_DH_GEX_REQUEST [preauth]
debug1: SSH2_MSG_KEX_DH_GEX_REQUEST received [preauth]
debug1: SSH2_MSG_KEX_DH_GEX_GROUP sent [preauth]
debug1: expecting SSH2_MSG_KEX_DH_GEX_INIT [preauth]
debug1: SSH2_MSG_KEX_DH_GEX_INIT received [preauth]
debug1: rekey out after 4294967296 blocks [preauth]
debug1: SSH2_MSG_NEWKEYS sent [preauth]
debug1: expecting SSH2_MSG_NEWKEYS [preauth]
debug1: SSH2_MSG_NEWKEYS received [preauth]
debug1: rekey in after 4294967296 blocks [preauth]
debug1: KEX done [preauth]
debug1: userauth-request for user stiw47 service ssh-connection method none [preauth]
debug1: attempt 0 failures 0 [preauth]
debug1: PAM: initializing for "stiw47"
debug1: PAM: setting PAM_RHOST to "192.168.0.53"
debug1: PAM: setting PAM_TTY to "ssh"
debug1: userauth-request for user stiw47 service ssh-connection method publickey [preauth]
debug1: attempt 1 failures 0 [preauth]
userauth_pubkey: key type ssh-rsa not in PubkeyAcceptedAlgorithms [preauth]
Received disconnect from 192.168.0.53 port 50385:14: No supported authentication methods available [preauth]
Disconnected from authenticating user stiw47 192.168.0.53 port 50385 [preauth]
debug1: do_cleanup [preauth]
debug1: monitor_read_log: child log fd closed
debug1: do_cleanup
debug1: PAM: cleanup
debug1: Killing privsep child 64262

对我来说很奇怪的情况，你有什么想法吗？

谢谢。

我阅读了以下教程

• 如何在 Ubuntu 上使用 ssh-keyscan

我确认ssh-keyscan 192.168.1.X扫描并打印服务器/主机的所有 公钥值 - 输出来自服务器/主机的以下文件

/etc/ssh/ssh_host_ecdsa_key.pub
/etc/ssh/ssh_host_ed25519_key.pub
/etc/ssh/ssh_host_rsa_key.pub

我可以通过以下选项过滤它们：-t

• ssh-keyscan -t key_type 192.168.1.X

哪里key_type可以rsa，ecdsa甚至ed25519可以混合如：rsa,ecdsa

例如：

• ssh-keyscan -t rsa 192.168.1.X

直到这里我理解了命令的所有这两种变体。我在我的电脑上确认了这种行为

现在，这篇文章的原因，经过对该命令的研究 - 根据：

• ssh-keyscan(1) - 来自 man.openbsd.org
• ssh-keyscan(1) - 来自 linux.die.net

两者都提到了/etc/ssh/ssh_known_hosts文件，存在

如果在不验证密钥的情况下ssh_known_hosts使用构建文件ssh-keyscan，用户将容易受到中间人攻击。另一方面，如果安全模型允许这种风险， 则可以帮助检测被篡改的密钥文件或在文件创建ssh-keyscan后开始的中间人攻击ssh_known_hosts

不清楚ssh_known_hosts是自动创建/构造还是使用某些选项，-c例如 - 我知道该选项不存在。

那么该文件在客户端中不存在-我假设在命令执行之后应该自动生成或创建该文件-该路径和文件名出于某种明确的原因而存在，对吗？- 类似于在使用命令并被客户端接受服务器指纹.ssh/known_hosts时文件的创建/更新方式ssh username@hostname

什么时候执行

ssh -i id_rsa_something remoteuser@192.168.1.2

出现：

The authenticity of host '192.168.1.2 (192.168.1.2)' can't be established.
ECDSA key fingerprint is SHA256:ABCABC [fixed/changed].
Are you sure you want to continue connecting (yes/no)?

如果我写的是，我可以通过 SSH 访问远程服务器。所以直到这里，远程连接的 SSH 配置按预期工作。此外，在.ssh/known_hosts文件的客户端中，添加了：

192.168.1.2 ecdsa-sha2-nistp256 AAAAE2VjZHNhLXNo...

所以客户端通过该.ssh/known_hosts文件知道有一个受信任的服务器，并且在服务器端通过该.ssh/authorized_keys文件存在客户端公钥的副本。到此为止，客户端和服务器之间可以和平建立安全连接。

我认为这是在客户端和服务器之间建立连接的独特逻辑方法（我们称之为第一种方法）。我的意思是，生成密钥，将公钥复制到服务器，最后作为共享的第一个命令进行连接（即使 SSH 代理运行与否）。

现在，我在 StackExchange 分支中进行了一项关于如何在客户端删除指纹的研究，它通过ssh-agent -R hostname影响.ssh/known_hosts文件并生成known_hosts.old文件和工作的命令，但在发布的解决方案中出现了多少次要ssh-keyscan添加的额外信息文件中主机的指纹.ssh/known_hosts- 我对此进行了研究，教程只教如何使用 - 我找不到关于何时强制使用第一种方法的ssh-keyscan可靠理由

首先，我不是 Windows 专家。此外，与我交谈过的 Windows 人员似乎并不熟悉“icacls”，我认为这很奇怪。我通过搜索找到了它。我看到有人问过类似的问题，但从未收到答案。我希望通过提供一个具体的例子，它可能对某人有意义。尝试在不使用 gui 的情况下删除权限，为什么这似乎没有效果？（为安全起见更改了特定名称）：

domain\testsftp@SERVER1 C:\Users\testsftp\.ssh>icacls authorized_keys
authorized_keys NT AUTHORITY\SYSTEM:(I)(F)
                BUILTIN\Administrators:(I)(F)
                DOMAIN\TESTSFTP:(I)(F)
                DOMAIN\dal123:(I)(F)
                DOMAIN\adm_j123:(I)(F)

Successfully processed 1 files; Failed processing 0 files

domain\testsftp@SERVER1 C:\Users\testsftp\.ssh>icacls authorized_keys /remove "DOMAIN\dal123"
processed file: authorized_keys
Successfully processed 1 files; Failed processing 0 files

domain\testsftp@SERVER1 C:\Users\testsftp\.ssh>icacls authorized_keys
authorized_keys NT AUTHORITY\SYSTEM:(I)(F)
                BUILTIN\Administrators:(I)(F)
                DOMAIN\TESTSFTP:(I)(F)
                DOMAIN\dal123:(I)(F)
                DOMAIN\adm_j123:(I)(F)

Successfully processed 1 files; Failed processing 0 files

domain\testsftp@SERVER1 C:\Users\testsftp\.ssh>

它说它是成功的，但没有任何改变。任何人都可以帮忙吗？谢谢！