linux中ssh登陆报错和实现ssh无密码登陆、ssh配置文件自检方法、secureCRT登录提示Key exchange failed.No compatible key exchange met

报错和实现ssh无密码登陆、ssh配置文件自检方法、secureCRT登录提示Key exchange failed.No compatible key exchange met"/>

linux中ssh登陆报错和实现ssh无密码登陆、ssh配置文件自检方法、secureCRT登录提示Key exchange failed.No compatible key exchange met

文章目录

• 免密登陆配置
• • 服务端
  • 客户端
  • 免密登陆原理
  • 补充信息
• ssh登陆报错处理
• • 报错处理内容说明和处理方法
  • • 报错内容
    • 报错处理
    • Connection reset by peer报错说明
  • 总结分析（懂得可不看）
  • • 连接服务器（客户端） 存储目录
    • 被连接服务器（服务端）存储目录
    • 实验说明（懂的可不看）
• ssh配置文件自检
• secureCRT登录提示Key exchange failed.No compatible key exchange method.
• • 报错说明
  • 解决方法

免密登陆配置

• 服务端创建秘钥命令，客户端做秘钥绑定！
• 如果要双向都免密登陆，两台服务器需要做同样的配置（服务端和客户端的步骤都需要做）

服务端

说之前先说明一下 免密的储存文件：家目录(root) . ssh 中，没生成秘钥以前这里面除了ssh文件以外没有任何文件：

创建秘钥：创建秘钥命令：ssh-keygen ，会让你输入密码，这个就是私钥密码，如果设置了秘钥登陆，每次都需要输入一次密码，这个密码不是对方服务器的密码，而是私钥密码（相对于qq文件的二级密码）， 所以一般是不会要这个私钥密码的，这时候就可以不输入任何密码直接登陆到指定服务器。
或者使用ssh-keygen -N ""，就是不创建私钥密码(和ssh-keygen 直接回车，不输入任何密码到创建完成同样效果），创建完成后会多2个文件 分别为私钥和公钥：

客户端

• 公钥绑定：
  ssh-copy-id 用户@ip即可，以root为例：
  ssh-copy-id root@10.233.3.225
  
• 测试：
  免密成功后使用ssh 就会发现，不让你输入被连接服务器密码就直接ssh到对面服务器了：
  

免密登陆原理

原理：生成秘钥以后会生成一个公钥和一个私钥，私钥一般只能自己知道，而公钥就是给对方的，比如说，我生成了一个秘钥，而我知道你的服务器密码，我想连接到你的服务器不需要每次都验证你的密码，所以我把我生成的秘钥的公钥给你，每次和你连接的时候如果公钥匹配 我就直接进入到你的服务器，不需要验证你的密码。所以 去看看被连接服务器的公钥储存目录(/root/.ssh)，在没有配置的时候只有一个known_hosts文件。
服务端配置公钥以后多了一个authorized_keys 里面就是存储的公钥信息：

会发现被连接服务器公钥和连接服务器公钥是一样的，如果不需要免密登陆就去被连接服务器(服务端)清空/root/.ssh/authorized_keys 里面的公钥信息即可：

补充信息

• 生成公钥：ssh-keygen

• 添加公钥：ssh-copy-id 用户@ip

• 限制root直登：
  vim /etc/ssh/sshd_config 里面有一项是：#PermitRootLogin yes,把前面的# 删掉，并把yes改为no，就不可以使用root直接登陆了，但需要重启服务才会生效：systemcctl restart sshd

• 限制秘钥直登(不能免密登陆了）：
  vim /etc/ssh/sshd_config 里面有一项是：#PubkeAuthentication yes ,吧前面的#删掉 并把yes改为no即可，需要重启服务：systemctl restart sshd

• 限制密码验证(慎重，这个做了可能导致服务器无法登陆）：
  vim /etc/ssh/sshd_config 里面有一项是：#PasswordAuthentication yes ,吧前面的#删掉 并把yes改为no即可，需要重启服务：systemctl restart sshd

ssh登陆报错处理

报错处理内容说明和处理方法

报错内容

原因：就是连接服务器（客户端）中存储的被连接服务器（服务端）公钥信息发生了改变而已，只需要在链接服务器（客户端）中删除被连接服务器（服务端）的公钥信息就可以了。

报错处理

• 在连接服务器的 /root/.ssh 里面 删除存储的公钥known_hosts信息重新ssh 就可以了。
• vim /root/.shh/known_hosts 在里面找到对应的ip(如下图，需要删除无法连接的IP公钥信息），删除即可解决。
  

Connection reset by peer报错说明

• 如果免密登陆报错内容如下，并且不能直接通过ssh方式登陆被连接服务器（如下的227）。
  
• 原因：
  这是删除了公钥文件（或公钥文件丢失） 没有ssd重启服务(systemctl restart sshd)，会出现上述报错，并且该服务器不能通过ssh或任何远程软件登陆。
• 解决方法
  从后台登陆无法登陆服务器，然后重启下ssd服务即可（重启后就会自动生成公钥文件）：systemctl restart sshd

总结分析（懂得可不看）

免密登陆是通过ssh登陆的，只是少了输入密码这一步，在接触免密要登陆前有必要了解 ssh 的基本运作条件，因为ssh无法使用，ssh免密也就无法使用。 下面下说一下 shh 的目录这些以及运行条件 不说基本命令的使用，我使用的工具是secureCRT。

连接服务器（客户端） 存储目录

连接服务器(客户端)：家目录/root/ .ssh/known_hosts 里，未ssh连接过任何服务器所以里面是空白：

被连接服务器（服务端）存储目录

被连接服务器(服务端)：/etc/ssh/ssh_host_*都是公钥信息：

实验说明（懂的可不看）

下面开始以后缀225和226的服务器做演示：225为连接服务器，226为被连接服务器，所有以root为例：

• 第一次被连接的服务器都会提示该界面 以保存公钥信息 输入yes 后才会到输入密码界面，第二次起就直接到输入密码界面了：
  
  这时可以看到连接服务器里多了被连接服务器的信息 所有已连接过的服务器信息都会保存在这(当前在225上)：
  
• 至于被连接服务器里的一串公钥文件，可以不用在意，但需要注意的是，如果被连接服务器的公钥指纹发生了改变 ，（如删除公钥信息：rm -rf /etc/ssh/ssh_host_*，删除后务必重启sshd服务 否则ssh无法使用）：systemctl restart sshd，客户端再次被连接就会报错 如：
  现在226是能正常被225连接的：
  
  现在去226服务器删除公钥指纹信息 删除后一定要重启ssh服务！！！！！：
  
  如果删除了公钥文件 没有重启服务，会出现以下报错，并且该服务器不能通过ssh或任何远程软件登陆：
  
  在226上删除公钥信息并重启服务后回到225 连接226发现就会报错：
  
• 处理方法：去连接服务器 /root/.ssh 里面 删除存储的公钥(known_hosts)信息重新ssh 就可以了，因为只有一个信息 所以我直接写空了：> known_hosts，有很多个的，vi 打开known_hosts 在里面找到对应的ip，删除即可：
  
  再次连接：回到提示让你保存公钥，成功解决：
  

ssh配置文件自检

• 命令：sshd -t
  修改了sshd配置文件，执行这个命令自检看看有没有哪里报错，如果配置文件修改有问题，执行这个命令后会提示的，当然，修改后重启sshd服务报错后，也可以看日志的哈。
  有时候修改了想自检，老师忘记这个命令，所以放这记录一下。

secureCRT登录提示Key exchange failed.No compatible key exchange method.

报错说明

• CRT登录报错内容如下
  

Key exchange failed.
No compatible key exchange method. The server supports these methods: curve25519-sha256,curve25519-sha256@libssh,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256Press Ctrl+C to cancel or Enter to reconnect immediately.
Reconnecting in 4 seconds...

解决方法

• 最简单的方法就是用xsell登录，xshell7一般都是可以直接登录的，如果你不方便下载xshell7.那么就根据下面流程来做。

• 简单说明一下造成这种情况的原因：错误原因是SecureCRT 客户端支持的和kali作为ssh服务端支持的SSH秘钥交换算法不匹配。
  解决方法也很简单： 修改/etc/ssh/sshd_config配置文件,末行增加如内容，使新版本的Kali Linux支持老版本的秘钥交换算法。

KexAlgorithms curve25519-sha256@libssh,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group14-sha1,diffie-hellman-group-exchange-sha1,diffie-hellman-group1-sha1

• 问题来了，如果你是VMware创建的虚拟机，我们知道控制台是无法复制粘贴的，不至于手动一个一个输吧？ 当然不至于，我这就以修改VMware的流程为例【如果是openstack的，就老老实实的下载个xshell，用xshell登录，如果非要用crt登录，那么就用xshell登录后复制粘贴】

  • 将上面内容放到一个文本里面，然后用scp拷贝到VMware虚拟机内
    
  • 然后再VMware控制台，>>到/etc/ssh/sshd_config中，重启配置文件即可
    
    怕上图不清晰，放历史命令
    

• 现在再次crt登录
  
  问题解决