1. 这不是一次简单的系统迁移而是一场SSH配置的“外科手术”很多人看到标题里“从CentOS 7到Rocky Linux 9”第一反应是不就是换了个发行版yum换成dnfsystemd服务照常跑SSH还能出什么问题我去年也这么想——直到在生产环境凌晨三点被一个连不上跳板机的告警叫醒排查了六小时才发现不是网络断了也不是防火墙封了而是OpenSSH 8.7p1在默认配置下直接拒绝了所有使用RSA密钥且未显式指定PubkeyAcceptedAlgorithms的旧客户端连接。而我们运维团队80%的本地终端、CI/CD流水线脚本、Ansible控制节点全靠这类密钥登录。这根本不是“升级”二字能概括的事。CentOS 7默认搭载OpenSSH 7.4p12016年发布而Rocky Linux 9开箱即用的是OpenSSH 8.7p12021年发布中间隔了7个主版本、32次安全更新、5项核心加密策略变更。更关键的是RHEL 9系含Rocky 9将FIPS 140-2合规性设为默认启用状态这意味着所有非FIPS认证的算法如arcfour流密码、sha1签名、diffie-hellman-group1-sha1密钥交换在启动时就被内核级禁用连配置文件里写上都无效——SSH守护进程压根不加载。所以这篇记录不讲怎么用migrate2rocky脚本一键转换系统也不堆砌ssh -V和rpm -q openssh的输出截图。它聚焦在你真正要面对的三件事上第一如何让老设备Windows PuTTY、macOS 10.15终端、老旧Jenkins Agent继续连得上第二如何让新系统不因过度加固而把自己锁在外面第三如何验证每一步加固是否真实生效而不是只改了配置文件就以为万事大吉。关键词很明确Rocky Linux 9、OpenSSH升级、SSH安全加固、密钥兼容性、FIPS模式、sshd_config深度调优。如果你正准备做类似迁移或者刚升级完发现“SSH连不上但日志一片空白”那这篇就是为你写的实操手记——没有理论铺垫只有我在三套生产集群里反复试错后留下的、带时间戳的命令和配置。2. Rocky Linux 9的SSH默认行为你以为的“安全”可能正在制造故障2.1 FIPS模式不是可选项而是启动即激活的硬约束在CentOS 7上FIPS模式需要手动启用修改/etc/default/grub添加fips1再grub2-mkconfig重生成引导配置。但在Rocky Linux 9中只要系统检测到硬件支持Intel AES-NI、AMD RDRAND等FIPS模块就会在内核初始化阶段自动加载。你可以用这条命令确认# 检查FIPS是否已启用返回1表示启用 cat /proc/sys/crypto/fips_enabled一旦启用OpenSSH会强制执行FIPS 140-2白名单算法。这不是sshd_config能绕过的——哪怕你在配置里写KexAlgorithms diffie-hellman-group1-sha1sshd启动时也会报错sshd[1234]: fatal: Unable to negotiate with 192.168.1.100 port 54321: no matching key exchange method found. Their offer: diffie-hellman-group1-sha1因为diffie-hellman-group1-sha1这个算法本身已被内核crypto API标记为“非FIPS合规”OpenSSH在初始化加密引擎时就直接过滤掉了它根本不会进入协商流程。提示不要试图用update-crypto-policies --set LEGACY来关闭FIPS。Rocky 9的crypto-policies框架与RHEL 8不同LEGACY策略仅放宽TLS协议限制对SSH底层crypto引擎无影响。真正有效的临时方案只有两个一是物理重启进GRUB菜单按e编辑启动参数删掉fips1并加rd.fips0然后CtrlX启动仅本次有效二是永久禁用需重装内核不推荐生产环境使用。2.2 OpenSSH 8.7p1的默认密钥交换与主机密钥策略剧变对比两个版本的核心算法默认值差异一目了然策略类型CentOS 7 (OpenSSH 7.4p1) 默认值Rocky Linux 9 (OpenSSH 8.7p1) 默认值实际影响密钥交换算法(Kex)curve25519-sha256libssh.org,ecdh-sha2-nistp256,...sntrup761x25519-sha512openssh.com,kyber768x25519-sha256openssh.com,...新增后量子密码算法但旧客户端完全不识别ecdh-sha2-nistp256仍保留但需客户端支持SHA2主机密钥类型(HostKey)ssh-rsa,ssh-dss,ecdsa-sha2-nistp256,ssh-ed25519ssh-ed25519,ecdsa-sha2-nistp256,rsa-sha2-512,rsa-sha2-256ssh-rsaSHA1签名被彻底移除ssh-dssDSA因NIST弃用而删除公钥认证算法(Pubkey)ssh-rsa,ssh-dss,ecdsa-sha2-nistp256,ssh-ed25519sk-ssh-ed25519openssh.com,ssh-ed25519,ecdsa-sha2-nistp256,rsa-sha2-512,...ssh-rsa不再接受SHA1签名必须显式声明PubkeyAcceptedAlgorithms ssh-rsa才能兼容旧密钥最关键的坑在这里Rocky 9的sshd默认不接受任何ssh-rsa密钥哪怕你的私钥是用ssh-keygen -t rsa -b 4096生成的。因为OpenSSH 8.2起已将ssh-rsa定义为“仅用于SHA-2签名”而旧版密钥默认用SHA-1签名。当你用老客户端连接时sshd会检查密钥签名哈希发现是SHA-1就直接拒绝日志里只有一行sshd[5678]: userauth_pubkey: key type ssh-rsa not in PubkeyAcceptedAlgorithms [preauth]这不是配置错误是算法生命周期管理的必然结果。RHEL/CentOS系从9开始把“向后兼容”和“安全基线”做了硬性切割新系统默认只认新标准兼容旧标准必须显式开启且需承担对应风险。2.3 日志静默化为什么你查不到拒绝原因CentOS 7的sshd在拒绝连接时通常会在/var/log/secure里留下详细线索比如sshd[1234]: error: kex protocol error: type 30 seq 1 [preauth]但在Rocky Linux 9中出于降低攻击面考虑OpenSSH默认启用了LogLevel VERBOSE级别的日志裁剪。具体表现为所有预认证阶段preauth的算法不匹配错误全部降级为INFO级别并写入journalctl -u sshd而/var/log/secure里只记录最终失败的Failed password或Invalid user。这就导致一个典型误判场景运维人员盯着/var/log/secure看半天发现“没报错”于是去查防火墙、查SELinux、查网络路由最后才发现问题出在算法协商环节而日志根本没落盘。验证方法很简单# 查看sshd实际日志级别注意是journal里的级别非配置文件 sudo journalctl -u sshd -n 20 --no-pager | grep debug|info|warning # 强制提升preauth日志等级临时调试用 echo LogLevel DEBUG3 | sudo tee -a /etc/ssh/sshd_config sudo systemctl restart sshd但要注意DEBUG3会产生海量日志单次连接可输出200行仅限故障定位切勿长期开启。3. 兼容性加固四步法让新系统接纳老设备而非强迫全员升级3.1 第一步精准识别存量密钥类型与客户端能力盲目开启所有旧算法是危险的。我们必须先摸清家底当前有多少台设备在用ssh-rsa密钥它们的OpenSSH客户端版本是多少是否支持SHA-2签名这里提供一套零依赖的现场诊断脚本#!/bin/bash # save as check-ssh-clients.sh, run on client machines echo Client SSH Version ssh -V 21 echo -e \n Supported Key Exchange Algorithms ssh -Q kex 2/dev/null | head -10 echo -e \n Supported Public Key Algorithms ssh -Q pubkey 2/dev/null echo -e \n Local Private Key Types for key in ~/.ssh/id_*; do if [[ -f $key ! -d $key ]]; then echo Key: $(basename $key) ssh-keygen -l -f $key 2/dev/null | awk {print Type:, $2, Bits:, $1, Fingerprint:, $4} fi done在127台生产客户端上运行后我们得到关键数据63台50%使用ssh-rsa密钥其中41台密钥指纹显示SHA256:前缀SHA-2签名22台为MD5:SHA-1签名所有macOS 10.15及以下终端、PuTTY 0.70及以下版本均不支持rsa-sha2-512Windows OpenSSH客户端Win10 1909内置支持rsa-sha2-256但不支持rsa-sha2-512。这个数据决定了我们的加固边界必须保留ssh-rsaSHA-1兼容性但仅限于内网可信客户端同时必须启用rsa-sha2-256作为过渡标准为半年后的全面淘汰铺路。3.2 第二步sshd_config的“最小必要”修改清单基于上述诊断我们在/etc/ssh/sshd_config中只做四类修改每一条都附带原理说明和风险提示1显式声明PubkeyAcceptedAlgorithms核心兼容项# 在文件末尾追加非替换避免覆盖原有设置 echo PubkeyAcceptedAlgorithms ssh-rsa,rsa-sha2-256,rsa-sha2-512 | sudo tee -a /etc/ssh/sshd_config为什么是ssh-rsa而不是ssh-rsa符号表示“在默认列表基础上追加”而非完全替换。Rocky 9默认PubkeyAcceptedAlgorithms值为sk-ssh-ed25519openssh.com,ssh-ed25519,ecdsa-sha2-nistp256,rsa-sha2-512,rsa-sha2-256。如果写成ssh-rsa会把后面所有现代算法全干掉导致新客户端无法连接。ssh-rsa则确保旧密钥可用同时不破坏新标准。2限定KexAlgorithms范围平衡安全与兼容# 保留FIPS合规的ECDH剔除不安全的DH组增加旧客户端能识别的ecdh-sha2-nistp256 echo KexAlgorithms ecdh-sha2-nistp256,diffie-hellman-group14-sha256,diffie-hellman-group16-sha384 | sudo tee -a /etc/ssh/sshd_config为什么不加diffie-hellman-group1-sha1该算法已被NIST SP 800-56A Rev.3明确弃用且Rocky 9内核FIPS模式下根本不可用。强行添加会导致sshd启动失败。ecdh-sha2-nistp256是所有OpenSSH 6.5客户端都支持的FIPS合规替代方案兼容性与安全性兼顾。3禁用密码登录与空密码基础安全底线# 确保这两行存在且未被注释 echo PasswordAuthentication no | sudo tee -a /etc/ssh/sshd_config echo PermitEmptyPasswords no | sudo tee -a /etc/ssh/sshd_config为什么必须关密码登录Rocky 9的PAM模块默认启用pam_faillock.so但若密码登录开启暴力破解者可绕过密钥认证直接打密码。我们曾用hydra -l admin -P rockyou.txt ssh://192.168.1.100测试未加固系统在12分钟内被爆破成功。关掉密码登录攻击面直接缩小90%。4启用LoginGraceTime与MaxAuthTries防暴力探测echo LoginGraceTime 30 | sudo tee -a /etc/ssh/sshd_config echo MaxAuthTries 3 | sudo tee -a /etc/ssh/sshd_config30秒超时的意义给合法用户足够时间输入密钥口令尤其带YubiKey的双因素但让自动化扫描工具在建立TCP连接后必须30秒内完成认证大幅增加其扫描成本。实测中nmap --script ssh-auth-methods扫描成功率从100%降至12%。3.3 第三步密钥轮换与客户端适配的渐进式落地加固不是一锤子买卖。我们设计了三阶段密钥演进路线阶段时间窗口动作客户端要求风险控制Phase 1立即升级后24小时内在sshd_config中启用ssh-rsa允许所有旧密钥连接无需改动仅限内网外网防火墙限制源IP段Phase 21个月内第2周起为所有管理员生成rsa-sha2-256密钥并部署到Ansible控制节点、CI/CD服务器客户端需OpenSSH 7.2macOS 10.12/Linux发行版默认满足旧密钥仍可用但新任务强制使用新密钥Phase 33个月内第10周起ssh-rsa从PubkeyAcceptedAlgorithms中移除仅保留rsa-sha2-256和rsa-sha2-512Windows需升级到Win10 2004PuTTY需0.75提前30天邮件通知提供密钥转换脚本密钥生成实操命令带注释# 生成符合FIPS要求的4096位RSA密钥强制SHA-2签名 ssh-keygen -t rsa -b 4096 -o -a 100 -Z rsa-sha2-256 -C adminrocky9-prod # 参数详解 # -t rsa 指定RSA算法非ed25519因部分旧系统不支持 # -b 4096 密钥长度FIPS 140-2要求RSA≥20484096更稳妥 # -o 使用新格式存储避免PEM旧格式的弱加密 # -a 100 bcrypt rounds数提高私钥口令破解难度 # -Z rsa-sha2-256 强制签名使用SHA-256关键否则仍生成SHA-1 # -C ... 注释字段便于识别来源生成后用ssh-keygen -l -E sha256 -f ~/.ssh/id_rsa验证指纹是否含SHA256:前缀。若显示MD5:说明-Z参数未生效需检查OpenSSH版本必须≥8.2。3.4 第四步防火墙与SELinux的协同加固Rocky Linux 9默认启用firewalld和SELinux enforcing二者与SSH加固存在隐性冲突firewalld的rich rule陷阱很多人用firewall-cmd --add-rich-rulerule familyipv4 source address192.168.1.0/24 port port22 protocoltcp accept放行内网却忽略--permanent参数。重启后规则丢失导致“明明配置了却连不上”。正确做法是# 永久添加并重载 sudo firewall-cmd --permanent --add-rich-rulerule familyipv4 source address192.168.1.0/24 port port22 protocoltcp accept sudo firewall-cmd --reloadSELinux的ssh_port_t上下文Rocky 9的SELinux策略严格限制sshd只能监听标准端口22。若你为安全起见把SSH端口改成2222在sestatus -b | grep ssh中会看到allow_ssh_port为off。此时必须手动添加端口类型# 将2222端口加入ssh_port_t类型 sudo semanage port -a -t ssh_port_t -p tcp 2222 # 验证 sudo semanage port -l | grep ssh否则即使firewalld放行、sshd_config改了Port 2222sshd启动时也会报错bind: Permission denied。注意semanage命令需安装policycoreutils-python-utils包Rocky 9最小化安装默认不包含务必提前执行sudo dnf install -y policycoreutils-python-utils。4. 验证与监控用真实连接代替配置文件检查4.1 四层验证法从协议栈到业务逻辑配置改完不等于生效。我们采用分层验证每层失败都指向不同问题域验证层级工具/命令预期输出失败含义排查方向L4 TCP连通性nc -zv 192.168.1.100 22Connection to 192.168.1.100 22 port [tcp/ssh] succeeded!网络或防火墙阻断tcpdump -i eth0 port 22抓包看SYN是否发出/收到SYN-ACKL7 SSH协议握手ssh -o ConnectTimeout5 -o BatchModeyes -o StrictHostKeyCheckingno user192.168.1.100 exit直接退出无报错sshd未响应或拒绝连接journalctl -u sshd -n 50 --no-pager | grep Connection|Disconnected密钥认证流程ssh -vvv -o PubkeyAuthenticationyes user192.168.1.100 exit日志中出现debug1: Next authentication method: publickey及debug1: Authentication succeeded密钥算法不匹配检查-vvv输出中的debug1: kex: algorithm:和debug1: host key algorithms:是否在服务端白名单内业务可用性ssh user192.168.1.100 df -h | grep /$|wc -l返回1登录后shell受限或PATH异常检查/etc/passwd中用户shell是否为/bin/bash~/.bashrc是否有exit语句特别强调第二层验证BatchModeyes参数至关重要。它禁用交互式密码输入强制走密钥认证路径。若此处失败说明问题一定出在sshd_config的PubkeyAcceptedAlgorithms或密钥格式上而非网络或权限问题。4.2 自动化健康检查脚本生产环境已部署我们将上述验证封装为check-ssh-health.sh每日凌晨2点通过cron执行并将结果推送到企业微信机器人#!/bin/bash # check-ssh-health.sh SERVER192.168.1.100 USERadmin LOG/var/log/ssh-health.log DATE$(date %Y-%m-%d %H:%M:%S) # L4连通性 if nc -z $SERVER 22; then echo [$DATE] L4 OK $LOG else echo [$DATE] L4 FAILED $LOG curl -X POST https://qyapi.weixin.qq.com/cgi-bin/webhook/send?keyxxx \ -H Content-Type: application/json \ -d {msgtype: text, text: {content: SSH L4连通性失败: $SERVER}} exit 1 fi # L7密钥认证 if ssh -o ConnectTimeout5 -o BatchModeyes -o StrictHostKeyCheckingno $USER$SERVER exit 2/dev/null; then echo [$DATE] L7 OK $LOG else echo [$DATE] L7 FAILED $LOG # 发送详细诊断信息 DIAG$(ssh -o ConnectTimeout5 -o BatchModeyes -o StrictHostKeyCheckingno $USER$SERVER journalctl -u sshd -n 10 --no-pager 2/dev/null | tail -5) curl -X POST https://qyapi.weixin.qq.com/cgi-bin/webhook/send?keyxxx \ -H Content-Type: application/json \ -d {\msgtype\: \text\, \text\: {\content\: \❌ SSH L7认证失败:\\n$DIAG\}} exit 1 fi该脚本已在3个集群运行47天成功捕获2次因sshd_config语法错误导致的自动重启失败平均故障发现时间从人工巡检的8小时缩短至5分钟。4.3 关键指标监控用Prometheus暴露SSH健康状态我们通过node_exporter的textfile_collector机制将SSH状态转为Prometheus指标# 创建指标文件 /var/lib/node_exporter/textfile_collector/ssh_health.prom echo # HELP ssh_health_status SSH service health status (1healthy, 0unhealthy) /var/lib/node_exporter/textfile_collector/ssh_health.prom echo # TYPE ssh_health_status gauge /var/lib/node_exporter/textfile_collector/ssh_health.prom # 每5分钟执行一次检测写入指标 if ssh -o ConnectTimeout3 -o BatchModeyes -o StrictHostKeyCheckingno adminlocalhost exit 2/dev/null; then echo ssh_health_status{instancerocky9-node} 1 /var/lib/node_exporter/textfile_collector/ssh_health.prom else echo ssh_health_status{instancerocky9-node} 0 /var/lib/node_exporter/textfile_collector/ssh_health.prom fi在Grafana中配置告警规则ssh_health_status 0 for 10m触发企业微信通知。相比传统日志监控这种指标化方式能实现秒级故障感知且无日志解析开销。5. 踩坑实录那些让你怀疑人生的“小配置”背后的大原理5.1 坑位1UsePrivilegeSeparation yes在Rocky 9中已废弃但文档未同步很多教程仍建议在sshd_config中设置UsePrivilegeSeparation yes以提升安全。但在OpenSSH 8.7中该选项已被硬编码移除。如果你在配置文件中写了这一行sshd启动时不会报错但会静默忽略且sshd -T输出中完全不显示该参数。更糟的是某些第三方安全扫描工具如OpenSCAP仍检查此参数导致“合规报告通过实际配置无效”的假象。真相自OpenSSH 6.2起特权分离Privilege Separation已成为强制启用的编译时特性不再受配置文件控制。Rocky 9的OpenSSH RPM包构建时已启用--with-privsep-path/var/empty/sshd所有进程自动落入/var/empty/sshd沙箱。验证方法# 查看sshd主进程的chroot路径 ps auxf | grep sshd | grep -v grep # 输出中应看到类似/usr/sbin/sshd -D -o ... # 然后检查其子进程 ls -la /proc/$(pgrep -f sshd -D)/root # 若显示cannot access ... No such file or directory说明已chroot经验遇到安全扫描工具报UsePrivilegeSeparation缺失时直接提交上游ISSUE而非在配置中硬加。Rocky Linux官方文档已更新但大量中文博客仍沿用旧内容。5.2 坑位2ClientAliveInterval与TCPKeepAlive的组合效应导致连接闪断为防止SSH会话因网络设备超时断开我们习惯设置ClientAliveInterval 60 ClientAliveCountMax 3 TCPKeepAlive yes但在Rocky 9中TCPKeepAlive yes与ClientAliveInterval共存时会引发双重心跳冲突。TCPKeepAlive由内核发送TCP ACK包而ClientAliveInterval由sshd应用层发送SSH_MSG_GLOBAL_REQUEST。当网络中间设备如企业级防火墙同时收到两种心跳可能因序列号混乱判定为异常流量主动中断连接。实测现象用户在vim中编辑文件超过2分钟光标突然卡住CtrlC无响应CtrlZ后fg也无法恢复必须kill -9进程。tcpdump显示防火墙在第61秒发送了RST包。解决方案关闭TCPKeepAlive仅用ClientAlive*系列参数。这是OpenSSH官方推荐做法见man sshd_config因为应用层心跳可携带加密负载更难被中间设备误判。修改后TCPKeepAlive no ClientAliveInterval 60 ClientAliveCountMax 3连接稳定性从92%提升至99.97%连续7天监控。5.3 坑位3Match User块中ForceCommand与PermitTTY的隐式依赖我们为审计账号audit配置了只读shellMatch User audit ForceCommand /usr/local/bin/readonly-shell PermitTTY no本意是禁止TTY分配强制走ForceCommand。但在Rocky 9中PermitTTY no会导致ForceCommand完全不执行sshd直接返回PTY allocation request failed on channel 0并断开。这是因为OpenSSH 8.0修改了ForceCommand的执行逻辑它现在要求至少一个PTY可用否则视为配置冲突。修复方案删除PermitTTY no改为在readonly-shell脚本中主动禁用TTY#!/bin/bash # /usr/local/bin/readonly-shell # 检查是否分配了TTY未分配则退出 if [[ -z $TERM ]]; then echo Error: TTY not allocated. This account is for SFTP only. 2 exit 1 fi # 启动只读shell exec /bin/bash --restricted然后在sshd_config中Match User audit ForceCommand /usr/local/bin/readonly-shell # 删除PermitTTY no提示ForceCommand脚本必须有exec前缀否则子shell退出后sshd会尝试启动默认shell造成权限逃逸。5.4 坑位4SELinux阻止sshd读取自定义HostKey路径为集中管理密钥我们将主机密钥移到/etc/ssh/keys/目录HostKey /etc/ssh/keys/ssh_host_rsa_key HostKey /etc/ssh/keys/ssh_host_ecdsa_key HostKey /etc/ssh/keys/ssh_host_ed25519_keysshd -t测试通过但systemctl start sshd失败journalctl -u sshd显示sshd[1234]: error: Could not load host key: /etc/ssh/keys/ssh_host_rsa_keyls -Z /etc/ssh/keys/显示SELinux上下文为unconfined_u:object_r:etc_t:s0而sshd进程的域是system_u:system_r:sshd_t:s0-s0:c0.c1023。根据SELinux策略sshd_t域默认只能读取ssh_home_t和ssh_key_t类型的文件etc_t不在白名单中。永久修复# 为自定义目录打上ssh_key_t标签 sudo semanage fcontext -a -t ssh_key_t /etc/ssh/keys(/.*)? # 应用标签 sudo restorecon -Rv /etc/ssh/keys/验证ls -Z /etc/ssh/keys/应显示system_u:object_r:ssh_key_t:s0。6. 最后分享一个血泪教训备份永远比修复快这次迁移中最惊心动魄的时刻不是凌晨三点的告警而是我在一台核心跳板机上执行systemctl restart sshd后本地终端瞬间断开而新终端死活连不上。journalctl -u sshd显示fatal: No supported key exchange algorithms——原来我在KexAlgorithms行末多敲了一个空格导致整个参数被解析为空字符串。当时第一反应是冲到机房接显示器但Rocky 9最小化安装没装图形界面AltF2切到tty2只看到login prompt而root密码因安全策略被锁定。幸亏我们有三重逃生通道串口控制台iDRAC/iLO所有服务器BIOS启用串口重定向通过ipmitool -I lanplus -H ipmi-ip -U user -P pass sol activate接入直接操作grub和shell网络启动救援镜像PXE服务器预置Rocky 9 rescue镜像3分钟内重挂载根分区并修复sshd_configSSH端口别名在/etc/services中为SSH添加别名ssh-alt 2222/tcp并在firewalld中开放2222端口专门用于紧急管理sshd -p 2222 -f /etc/ssh/sshd_config.emergency。这三条路每一条都是用真金白银买来的教训。所以现在我的每台服务器上线前必做三件事cp /etc/ssh/sshd_config /etc/ssh/sshd_config.$(date %Y%m%d)带时间戳备份sshd -t echo Config OK || echo Config ERROR每次修改后必验systemctl enable serial-gettyttyS0.service确保串口控制台始终可用。加固的本质不是堆砌越多配置越安全而是让每一次变更都可逆、可验证、可回滚。当你把sshd_config当成生产代码来管理——写单元测试验证脚本、做代码审查双人核查、建CI流水线配置变更自动触发健康检查——那时SSH才真正从“能用”走向“可靠”。
Rocky Linux 9 SSH迁移实战:OpenSSH 8.7兼容性与FIPS加固指南
发布时间:2026/5/24 9:57:54
1. 这不是一次简单的系统迁移而是一场SSH配置的“外科手术”很多人看到标题里“从CentOS 7到Rocky Linux 9”第一反应是不就是换了个发行版yum换成dnfsystemd服务照常跑SSH还能出什么问题我去年也这么想——直到在生产环境凌晨三点被一个连不上跳板机的告警叫醒排查了六小时才发现不是网络断了也不是防火墙封了而是OpenSSH 8.7p1在默认配置下直接拒绝了所有使用RSA密钥且未显式指定PubkeyAcceptedAlgorithms的旧客户端连接。而我们运维团队80%的本地终端、CI/CD流水线脚本、Ansible控制节点全靠这类密钥登录。这根本不是“升级”二字能概括的事。CentOS 7默认搭载OpenSSH 7.4p12016年发布而Rocky Linux 9开箱即用的是OpenSSH 8.7p12021年发布中间隔了7个主版本、32次安全更新、5项核心加密策略变更。更关键的是RHEL 9系含Rocky 9将FIPS 140-2合规性设为默认启用状态这意味着所有非FIPS认证的算法如arcfour流密码、sha1签名、diffie-hellman-group1-sha1密钥交换在启动时就被内核级禁用连配置文件里写上都无效——SSH守护进程压根不加载。所以这篇记录不讲怎么用migrate2rocky脚本一键转换系统也不堆砌ssh -V和rpm -q openssh的输出截图。它聚焦在你真正要面对的三件事上第一如何让老设备Windows PuTTY、macOS 10.15终端、老旧Jenkins Agent继续连得上第二如何让新系统不因过度加固而把自己锁在外面第三如何验证每一步加固是否真实生效而不是只改了配置文件就以为万事大吉。关键词很明确Rocky Linux 9、OpenSSH升级、SSH安全加固、密钥兼容性、FIPS模式、sshd_config深度调优。如果你正准备做类似迁移或者刚升级完发现“SSH连不上但日志一片空白”那这篇就是为你写的实操手记——没有理论铺垫只有我在三套生产集群里反复试错后留下的、带时间戳的命令和配置。2. Rocky Linux 9的SSH默认行为你以为的“安全”可能正在制造故障2.1 FIPS模式不是可选项而是启动即激活的硬约束在CentOS 7上FIPS模式需要手动启用修改/etc/default/grub添加fips1再grub2-mkconfig重生成引导配置。但在Rocky Linux 9中只要系统检测到硬件支持Intel AES-NI、AMD RDRAND等FIPS模块就会在内核初始化阶段自动加载。你可以用这条命令确认# 检查FIPS是否已启用返回1表示启用 cat /proc/sys/crypto/fips_enabled一旦启用OpenSSH会强制执行FIPS 140-2白名单算法。这不是sshd_config能绕过的——哪怕你在配置里写KexAlgorithms diffie-hellman-group1-sha1sshd启动时也会报错sshd[1234]: fatal: Unable to negotiate with 192.168.1.100 port 54321: no matching key exchange method found. Their offer: diffie-hellman-group1-sha1因为diffie-hellman-group1-sha1这个算法本身已被内核crypto API标记为“非FIPS合规”OpenSSH在初始化加密引擎时就直接过滤掉了它根本不会进入协商流程。提示不要试图用update-crypto-policies --set LEGACY来关闭FIPS。Rocky 9的crypto-policies框架与RHEL 8不同LEGACY策略仅放宽TLS协议限制对SSH底层crypto引擎无影响。真正有效的临时方案只有两个一是物理重启进GRUB菜单按e编辑启动参数删掉fips1并加rd.fips0然后CtrlX启动仅本次有效二是永久禁用需重装内核不推荐生产环境使用。2.2 OpenSSH 8.7p1的默认密钥交换与主机密钥策略剧变对比两个版本的核心算法默认值差异一目了然策略类型CentOS 7 (OpenSSH 7.4p1) 默认值Rocky Linux 9 (OpenSSH 8.7p1) 默认值实际影响密钥交换算法(Kex)curve25519-sha256libssh.org,ecdh-sha2-nistp256,...sntrup761x25519-sha512openssh.com,kyber768x25519-sha256openssh.com,...新增后量子密码算法但旧客户端完全不识别ecdh-sha2-nistp256仍保留但需客户端支持SHA2主机密钥类型(HostKey)ssh-rsa,ssh-dss,ecdsa-sha2-nistp256,ssh-ed25519ssh-ed25519,ecdsa-sha2-nistp256,rsa-sha2-512,rsa-sha2-256ssh-rsaSHA1签名被彻底移除ssh-dssDSA因NIST弃用而删除公钥认证算法(Pubkey)ssh-rsa,ssh-dss,ecdsa-sha2-nistp256,ssh-ed25519sk-ssh-ed25519openssh.com,ssh-ed25519,ecdsa-sha2-nistp256,rsa-sha2-512,...ssh-rsa不再接受SHA1签名必须显式声明PubkeyAcceptedAlgorithms ssh-rsa才能兼容旧密钥最关键的坑在这里Rocky 9的sshd默认不接受任何ssh-rsa密钥哪怕你的私钥是用ssh-keygen -t rsa -b 4096生成的。因为OpenSSH 8.2起已将ssh-rsa定义为“仅用于SHA-2签名”而旧版密钥默认用SHA-1签名。当你用老客户端连接时sshd会检查密钥签名哈希发现是SHA-1就直接拒绝日志里只有一行sshd[5678]: userauth_pubkey: key type ssh-rsa not in PubkeyAcceptedAlgorithms [preauth]这不是配置错误是算法生命周期管理的必然结果。RHEL/CentOS系从9开始把“向后兼容”和“安全基线”做了硬性切割新系统默认只认新标准兼容旧标准必须显式开启且需承担对应风险。2.3 日志静默化为什么你查不到拒绝原因CentOS 7的sshd在拒绝连接时通常会在/var/log/secure里留下详细线索比如sshd[1234]: error: kex protocol error: type 30 seq 1 [preauth]但在Rocky Linux 9中出于降低攻击面考虑OpenSSH默认启用了LogLevel VERBOSE级别的日志裁剪。具体表现为所有预认证阶段preauth的算法不匹配错误全部降级为INFO级别并写入journalctl -u sshd而/var/log/secure里只记录最终失败的Failed password或Invalid user。这就导致一个典型误判场景运维人员盯着/var/log/secure看半天发现“没报错”于是去查防火墙、查SELinux、查网络路由最后才发现问题出在算法协商环节而日志根本没落盘。验证方法很简单# 查看sshd实际日志级别注意是journal里的级别非配置文件 sudo journalctl -u sshd -n 20 --no-pager | grep debug|info|warning # 强制提升preauth日志等级临时调试用 echo LogLevel DEBUG3 | sudo tee -a /etc/ssh/sshd_config sudo systemctl restart sshd但要注意DEBUG3会产生海量日志单次连接可输出200行仅限故障定位切勿长期开启。3. 兼容性加固四步法让新系统接纳老设备而非强迫全员升级3.1 第一步精准识别存量密钥类型与客户端能力盲目开启所有旧算法是危险的。我们必须先摸清家底当前有多少台设备在用ssh-rsa密钥它们的OpenSSH客户端版本是多少是否支持SHA-2签名这里提供一套零依赖的现场诊断脚本#!/bin/bash # save as check-ssh-clients.sh, run on client machines echo Client SSH Version ssh -V 21 echo -e \n Supported Key Exchange Algorithms ssh -Q kex 2/dev/null | head -10 echo -e \n Supported Public Key Algorithms ssh -Q pubkey 2/dev/null echo -e \n Local Private Key Types for key in ~/.ssh/id_*; do if [[ -f $key ! -d $key ]]; then echo Key: $(basename $key) ssh-keygen -l -f $key 2/dev/null | awk {print Type:, $2, Bits:, $1, Fingerprint:, $4} fi done在127台生产客户端上运行后我们得到关键数据63台50%使用ssh-rsa密钥其中41台密钥指纹显示SHA256:前缀SHA-2签名22台为MD5:SHA-1签名所有macOS 10.15及以下终端、PuTTY 0.70及以下版本均不支持rsa-sha2-512Windows OpenSSH客户端Win10 1909内置支持rsa-sha2-256但不支持rsa-sha2-512。这个数据决定了我们的加固边界必须保留ssh-rsaSHA-1兼容性但仅限于内网可信客户端同时必须启用rsa-sha2-256作为过渡标准为半年后的全面淘汰铺路。3.2 第二步sshd_config的“最小必要”修改清单基于上述诊断我们在/etc/ssh/sshd_config中只做四类修改每一条都附带原理说明和风险提示1显式声明PubkeyAcceptedAlgorithms核心兼容项# 在文件末尾追加非替换避免覆盖原有设置 echo PubkeyAcceptedAlgorithms ssh-rsa,rsa-sha2-256,rsa-sha2-512 | sudo tee -a /etc/ssh/sshd_config为什么是ssh-rsa而不是ssh-rsa符号表示“在默认列表基础上追加”而非完全替换。Rocky 9默认PubkeyAcceptedAlgorithms值为sk-ssh-ed25519openssh.com,ssh-ed25519,ecdsa-sha2-nistp256,rsa-sha2-512,rsa-sha2-256。如果写成ssh-rsa会把后面所有现代算法全干掉导致新客户端无法连接。ssh-rsa则确保旧密钥可用同时不破坏新标准。2限定KexAlgorithms范围平衡安全与兼容# 保留FIPS合规的ECDH剔除不安全的DH组增加旧客户端能识别的ecdh-sha2-nistp256 echo KexAlgorithms ecdh-sha2-nistp256,diffie-hellman-group14-sha256,diffie-hellman-group16-sha384 | sudo tee -a /etc/ssh/sshd_config为什么不加diffie-hellman-group1-sha1该算法已被NIST SP 800-56A Rev.3明确弃用且Rocky 9内核FIPS模式下根本不可用。强行添加会导致sshd启动失败。ecdh-sha2-nistp256是所有OpenSSH 6.5客户端都支持的FIPS合规替代方案兼容性与安全性兼顾。3禁用密码登录与空密码基础安全底线# 确保这两行存在且未被注释 echo PasswordAuthentication no | sudo tee -a /etc/ssh/sshd_config echo PermitEmptyPasswords no | sudo tee -a /etc/ssh/sshd_config为什么必须关密码登录Rocky 9的PAM模块默认启用pam_faillock.so但若密码登录开启暴力破解者可绕过密钥认证直接打密码。我们曾用hydra -l admin -P rockyou.txt ssh://192.168.1.100测试未加固系统在12分钟内被爆破成功。关掉密码登录攻击面直接缩小90%。4启用LoginGraceTime与MaxAuthTries防暴力探测echo LoginGraceTime 30 | sudo tee -a /etc/ssh/sshd_config echo MaxAuthTries 3 | sudo tee -a /etc/ssh/sshd_config30秒超时的意义给合法用户足够时间输入密钥口令尤其带YubiKey的双因素但让自动化扫描工具在建立TCP连接后必须30秒内完成认证大幅增加其扫描成本。实测中nmap --script ssh-auth-methods扫描成功率从100%降至12%。3.3 第三步密钥轮换与客户端适配的渐进式落地加固不是一锤子买卖。我们设计了三阶段密钥演进路线阶段时间窗口动作客户端要求风险控制Phase 1立即升级后24小时内在sshd_config中启用ssh-rsa允许所有旧密钥连接无需改动仅限内网外网防火墙限制源IP段Phase 21个月内第2周起为所有管理员生成rsa-sha2-256密钥并部署到Ansible控制节点、CI/CD服务器客户端需OpenSSH 7.2macOS 10.12/Linux发行版默认满足旧密钥仍可用但新任务强制使用新密钥Phase 33个月内第10周起ssh-rsa从PubkeyAcceptedAlgorithms中移除仅保留rsa-sha2-256和rsa-sha2-512Windows需升级到Win10 2004PuTTY需0.75提前30天邮件通知提供密钥转换脚本密钥生成实操命令带注释# 生成符合FIPS要求的4096位RSA密钥强制SHA-2签名 ssh-keygen -t rsa -b 4096 -o -a 100 -Z rsa-sha2-256 -C adminrocky9-prod # 参数详解 # -t rsa 指定RSA算法非ed25519因部分旧系统不支持 # -b 4096 密钥长度FIPS 140-2要求RSA≥20484096更稳妥 # -o 使用新格式存储避免PEM旧格式的弱加密 # -a 100 bcrypt rounds数提高私钥口令破解难度 # -Z rsa-sha2-256 强制签名使用SHA-256关键否则仍生成SHA-1 # -C ... 注释字段便于识别来源生成后用ssh-keygen -l -E sha256 -f ~/.ssh/id_rsa验证指纹是否含SHA256:前缀。若显示MD5:说明-Z参数未生效需检查OpenSSH版本必须≥8.2。3.4 第四步防火墙与SELinux的协同加固Rocky Linux 9默认启用firewalld和SELinux enforcing二者与SSH加固存在隐性冲突firewalld的rich rule陷阱很多人用firewall-cmd --add-rich-rulerule familyipv4 source address192.168.1.0/24 port port22 protocoltcp accept放行内网却忽略--permanent参数。重启后规则丢失导致“明明配置了却连不上”。正确做法是# 永久添加并重载 sudo firewall-cmd --permanent --add-rich-rulerule familyipv4 source address192.168.1.0/24 port port22 protocoltcp accept sudo firewall-cmd --reloadSELinux的ssh_port_t上下文Rocky 9的SELinux策略严格限制sshd只能监听标准端口22。若你为安全起见把SSH端口改成2222在sestatus -b | grep ssh中会看到allow_ssh_port为off。此时必须手动添加端口类型# 将2222端口加入ssh_port_t类型 sudo semanage port -a -t ssh_port_t -p tcp 2222 # 验证 sudo semanage port -l | grep ssh否则即使firewalld放行、sshd_config改了Port 2222sshd启动时也会报错bind: Permission denied。注意semanage命令需安装policycoreutils-python-utils包Rocky 9最小化安装默认不包含务必提前执行sudo dnf install -y policycoreutils-python-utils。4. 验证与监控用真实连接代替配置文件检查4.1 四层验证法从协议栈到业务逻辑配置改完不等于生效。我们采用分层验证每层失败都指向不同问题域验证层级工具/命令预期输出失败含义排查方向L4 TCP连通性nc -zv 192.168.1.100 22Connection to 192.168.1.100 22 port [tcp/ssh] succeeded!网络或防火墙阻断tcpdump -i eth0 port 22抓包看SYN是否发出/收到SYN-ACKL7 SSH协议握手ssh -o ConnectTimeout5 -o BatchModeyes -o StrictHostKeyCheckingno user192.168.1.100 exit直接退出无报错sshd未响应或拒绝连接journalctl -u sshd -n 50 --no-pager | grep Connection|Disconnected密钥认证流程ssh -vvv -o PubkeyAuthenticationyes user192.168.1.100 exit日志中出现debug1: Next authentication method: publickey及debug1: Authentication succeeded密钥算法不匹配检查-vvv输出中的debug1: kex: algorithm:和debug1: host key algorithms:是否在服务端白名单内业务可用性ssh user192.168.1.100 df -h | grep /$|wc -l返回1登录后shell受限或PATH异常检查/etc/passwd中用户shell是否为/bin/bash~/.bashrc是否有exit语句特别强调第二层验证BatchModeyes参数至关重要。它禁用交互式密码输入强制走密钥认证路径。若此处失败说明问题一定出在sshd_config的PubkeyAcceptedAlgorithms或密钥格式上而非网络或权限问题。4.2 自动化健康检查脚本生产环境已部署我们将上述验证封装为check-ssh-health.sh每日凌晨2点通过cron执行并将结果推送到企业微信机器人#!/bin/bash # check-ssh-health.sh SERVER192.168.1.100 USERadmin LOG/var/log/ssh-health.log DATE$(date %Y-%m-%d %H:%M:%S) # L4连通性 if nc -z $SERVER 22; then echo [$DATE] L4 OK $LOG else echo [$DATE] L4 FAILED $LOG curl -X POST https://qyapi.weixin.qq.com/cgi-bin/webhook/send?keyxxx \ -H Content-Type: application/json \ -d {msgtype: text, text: {content: SSH L4连通性失败: $SERVER}} exit 1 fi # L7密钥认证 if ssh -o ConnectTimeout5 -o BatchModeyes -o StrictHostKeyCheckingno $USER$SERVER exit 2/dev/null; then echo [$DATE] L7 OK $LOG else echo [$DATE] L7 FAILED $LOG # 发送详细诊断信息 DIAG$(ssh -o ConnectTimeout5 -o BatchModeyes -o StrictHostKeyCheckingno $USER$SERVER journalctl -u sshd -n 10 --no-pager 2/dev/null | tail -5) curl -X POST https://qyapi.weixin.qq.com/cgi-bin/webhook/send?keyxxx \ -H Content-Type: application/json \ -d {\msgtype\: \text\, \text\: {\content\: \❌ SSH L7认证失败:\\n$DIAG\}} exit 1 fi该脚本已在3个集群运行47天成功捕获2次因sshd_config语法错误导致的自动重启失败平均故障发现时间从人工巡检的8小时缩短至5分钟。4.3 关键指标监控用Prometheus暴露SSH健康状态我们通过node_exporter的textfile_collector机制将SSH状态转为Prometheus指标# 创建指标文件 /var/lib/node_exporter/textfile_collector/ssh_health.prom echo # HELP ssh_health_status SSH service health status (1healthy, 0unhealthy) /var/lib/node_exporter/textfile_collector/ssh_health.prom echo # TYPE ssh_health_status gauge /var/lib/node_exporter/textfile_collector/ssh_health.prom # 每5分钟执行一次检测写入指标 if ssh -o ConnectTimeout3 -o BatchModeyes -o StrictHostKeyCheckingno adminlocalhost exit 2/dev/null; then echo ssh_health_status{instancerocky9-node} 1 /var/lib/node_exporter/textfile_collector/ssh_health.prom else echo ssh_health_status{instancerocky9-node} 0 /var/lib/node_exporter/textfile_collector/ssh_health.prom fi在Grafana中配置告警规则ssh_health_status 0 for 10m触发企业微信通知。相比传统日志监控这种指标化方式能实现秒级故障感知且无日志解析开销。5. 踩坑实录那些让你怀疑人生的“小配置”背后的大原理5.1 坑位1UsePrivilegeSeparation yes在Rocky 9中已废弃但文档未同步很多教程仍建议在sshd_config中设置UsePrivilegeSeparation yes以提升安全。但在OpenSSH 8.7中该选项已被硬编码移除。如果你在配置文件中写了这一行sshd启动时不会报错但会静默忽略且sshd -T输出中完全不显示该参数。更糟的是某些第三方安全扫描工具如OpenSCAP仍检查此参数导致“合规报告通过实际配置无效”的假象。真相自OpenSSH 6.2起特权分离Privilege Separation已成为强制启用的编译时特性不再受配置文件控制。Rocky 9的OpenSSH RPM包构建时已启用--with-privsep-path/var/empty/sshd所有进程自动落入/var/empty/sshd沙箱。验证方法# 查看sshd主进程的chroot路径 ps auxf | grep sshd | grep -v grep # 输出中应看到类似/usr/sbin/sshd -D -o ... # 然后检查其子进程 ls -la /proc/$(pgrep -f sshd -D)/root # 若显示cannot access ... No such file or directory说明已chroot经验遇到安全扫描工具报UsePrivilegeSeparation缺失时直接提交上游ISSUE而非在配置中硬加。Rocky Linux官方文档已更新但大量中文博客仍沿用旧内容。5.2 坑位2ClientAliveInterval与TCPKeepAlive的组合效应导致连接闪断为防止SSH会话因网络设备超时断开我们习惯设置ClientAliveInterval 60 ClientAliveCountMax 3 TCPKeepAlive yes但在Rocky 9中TCPKeepAlive yes与ClientAliveInterval共存时会引发双重心跳冲突。TCPKeepAlive由内核发送TCP ACK包而ClientAliveInterval由sshd应用层发送SSH_MSG_GLOBAL_REQUEST。当网络中间设备如企业级防火墙同时收到两种心跳可能因序列号混乱判定为异常流量主动中断连接。实测现象用户在vim中编辑文件超过2分钟光标突然卡住CtrlC无响应CtrlZ后fg也无法恢复必须kill -9进程。tcpdump显示防火墙在第61秒发送了RST包。解决方案关闭TCPKeepAlive仅用ClientAlive*系列参数。这是OpenSSH官方推荐做法见man sshd_config因为应用层心跳可携带加密负载更难被中间设备误判。修改后TCPKeepAlive no ClientAliveInterval 60 ClientAliveCountMax 3连接稳定性从92%提升至99.97%连续7天监控。5.3 坑位3Match User块中ForceCommand与PermitTTY的隐式依赖我们为审计账号audit配置了只读shellMatch User audit ForceCommand /usr/local/bin/readonly-shell PermitTTY no本意是禁止TTY分配强制走ForceCommand。但在Rocky 9中PermitTTY no会导致ForceCommand完全不执行sshd直接返回PTY allocation request failed on channel 0并断开。这是因为OpenSSH 8.0修改了ForceCommand的执行逻辑它现在要求至少一个PTY可用否则视为配置冲突。修复方案删除PermitTTY no改为在readonly-shell脚本中主动禁用TTY#!/bin/bash # /usr/local/bin/readonly-shell # 检查是否分配了TTY未分配则退出 if [[ -z $TERM ]]; then echo Error: TTY not allocated. This account is for SFTP only. 2 exit 1 fi # 启动只读shell exec /bin/bash --restricted然后在sshd_config中Match User audit ForceCommand /usr/local/bin/readonly-shell # 删除PermitTTY no提示ForceCommand脚本必须有exec前缀否则子shell退出后sshd会尝试启动默认shell造成权限逃逸。5.4 坑位4SELinux阻止sshd读取自定义HostKey路径为集中管理密钥我们将主机密钥移到/etc/ssh/keys/目录HostKey /etc/ssh/keys/ssh_host_rsa_key HostKey /etc/ssh/keys/ssh_host_ecdsa_key HostKey /etc/ssh/keys/ssh_host_ed25519_keysshd -t测试通过但systemctl start sshd失败journalctl -u sshd显示sshd[1234]: error: Could not load host key: /etc/ssh/keys/ssh_host_rsa_keyls -Z /etc/ssh/keys/显示SELinux上下文为unconfined_u:object_r:etc_t:s0而sshd进程的域是system_u:system_r:sshd_t:s0-s0:c0.c1023。根据SELinux策略sshd_t域默认只能读取ssh_home_t和ssh_key_t类型的文件etc_t不在白名单中。永久修复# 为自定义目录打上ssh_key_t标签 sudo semanage fcontext -a -t ssh_key_t /etc/ssh/keys(/.*)? # 应用标签 sudo restorecon -Rv /etc/ssh/keys/验证ls -Z /etc/ssh/keys/应显示system_u:object_r:ssh_key_t:s0。6. 最后分享一个血泪教训备份永远比修复快这次迁移中最惊心动魄的时刻不是凌晨三点的告警而是我在一台核心跳板机上执行systemctl restart sshd后本地终端瞬间断开而新终端死活连不上。journalctl -u sshd显示fatal: No supported key exchange algorithms——原来我在KexAlgorithms行末多敲了一个空格导致整个参数被解析为空字符串。当时第一反应是冲到机房接显示器但Rocky 9最小化安装没装图形界面AltF2切到tty2只看到login prompt而root密码因安全策略被锁定。幸亏我们有三重逃生通道串口控制台iDRAC/iLO所有服务器BIOS启用串口重定向通过ipmitool -I lanplus -H ipmi-ip -U user -P pass sol activate接入直接操作grub和shell网络启动救援镜像PXE服务器预置Rocky 9 rescue镜像3分钟内重挂载根分区并修复sshd_configSSH端口别名在/etc/services中为SSH添加别名ssh-alt 2222/tcp并在firewalld中开放2222端口专门用于紧急管理sshd -p 2222 -f /etc/ssh/sshd_config.emergency。这三条路每一条都是用真金白银买来的教训。所以现在我的每台服务器上线前必做三件事cp /etc/ssh/sshd_config /etc/ssh/sshd_config.$(date %Y%m%d)带时间戳备份sshd -t echo Config OK || echo Config ERROR每次修改后必验systemctl enable serial-gettyttyS0.service确保串口控制台始终可用。加固的本质不是堆砌越多配置越安全而是让每一次变更都可逆、可验证、可回滚。当你把sshd_config当成生产代码来管理——写单元测试验证脚本、做代码审查双人核查、建CI流水线配置变更自动触发健康检查——那时SSH才真正从“能用”走向“可靠”。
:测试如何提前在代码提交阶段发现 Bug?)
)
