主页 / server / 问题 / 1116547
Accepted
Jaroslav Kucera
Asked: 2022-11-25 10:28:33 +0800 CST

为什么RHEL8系统在丢失时不自动生成SSH主机密钥?

  • 772

在 RHEL 8 和更早版本上,SSH 主机密钥通常在丢失时/etc/ssh由服务自动生成。sshd通常应该有:

/etc/ssh/ssh_host_ecdsa_key
/etc/ssh/ssh_host_ecdsa_key.pub
/etc/ssh/ssh_host_ed25519_key
/etc/ssh/ssh_host_ed25519_key.pub
/etc/ssh/ssh_host_rsa_key
/etc/ssh/ssh_host_rsa_key.pub

重启节点甚至systemctl restart sshd应该就足够了。

但是从次要版本 RHEL 8.7 开始,这可能不再起作用,并且sshd崩溃会抱怨日志中缺少主机密钥。为什么?我该如何解决这个问题?

ssh

1 个回答

  1. Best Answer

    sshd服务默认调用sshd-keygen.target,它检查目录中主机密钥的可用性/etc/ssh并在丢失时生成它。

    然而,这个众所周知的功能可能会被新版本的cloud-init. 由于cloud-init-22.1-5.el8.noarch有新文件:

    /etc/systemd/system/[email protected]/disable-sshd-keygen-if-cloud-init-active.conf

    内容:

    # In some cloud-init enabled images the sshd-keygen template service may race
# with cloud-init during boot causing issues with host key generation.  This
# drop-in config adds a condition to [email protected] if it exists and
# prevents the sshd-keygen units from running *if* cloud-init is going to run.
#
[Unit]
ConditionPathExists=!/run/systemd/generator.early/multi-user.target.wants/cloud-init.target

    因此,当您使用时,cloud-init您现在有 2 个选项:

    1. 手动生成主机密钥ssh-keygen -A(请参阅如何更改 SSH 主机密钥?了解更多详细信息和选项。
    2. 评论条件

    简单地把#标志放在前面ConditionPathExists...

    [Unit]
#ConditionPathExists=!/run/systemd/generator.early/multi-user.target.wants/cloud-init.target

    然后使用 重新加载 systemd 配置systemctl daemon-reload。通常的行为应该再次起作用。

    • 3

相关问题