SSH DSA密钥不再适用于无密码身份验证

升级到Fedora 23后，无密码（基于公共密钥）的身份验证在SSH中不再起作用：尝试通过SSH到某个主机时，它会提示我在远程主机上输入密码。我无法使用SSH私钥。Fedora 22一切正常。

我的公共密钥是DSA密钥（~/.ssh/id_dsa.pub）。我正在使用OpenSSH 7.1（openssh-7.1p1-5.fc23.x86_64）。

如何使无密码身份验证再次正常工作？

这是升级到OpenSSH 7.0的结果。正如OpenSSH 7.0的发行说明所说，“默认情况下，运行时默认禁用对ssh-dss主机和用户密钥的支持”。

解决方案是~/.ssh/config在每台客户端计算机（运行SSH客户端的每台计算机）上添加以下行：

PubkeyAcceptedKeyTypes=+ssh-dss

如果服务器使用的是OpenSSH 7.0或更高版本，则还需要将此行添加到/etc/ssh/sshd_config每台服务器计算机上。

或者，您可以生成一个全新的SSH密钥，并将其添加到您要登录的每台服务器上的authored_keys文件中。 我建议您使用RSA，以避免兼容性问题。我不建议使用ECDSA，因为显然gnome-keyring-daemon不会自动选择 ECDSA类型的SSH密钥。

社论评论：为什么OpenSSH人员禁用DSA密钥？我不知道。据我所知，DSA密钥（ssh-dss）的安全性没有问题。在OpenSSH的网页声称，SSH-DSS较弱，但据我所知，1024位SSH-DSS是不超过1024位RSA弱，和1024位RSA密钥未禁用。

我的两分钱

我建议编辑.ssh/config文件以允许这样做似乎不是一个好主意。

1. 通过使用最新工具来创建新密钥。

   然后将新的公钥复制到clipbord中

2. 使用旧密钥最后一次记录：

   ssh -i .ssh/id_dsa.pub -o PubkeyAcceptedKeyTypes=+ssh-dss user@host
   

   然后通过添加新的pubkey和注销来升级@host的authorized_keys文件

   cat >>.ssh/authorized_keys
   

   paste，然后Ctrl+D

3. 使用默认语法使用新密钥登录：

   ssh user@host
   

   1. 然后通过删除旧的pubkey（我的旧pubkey在此文件的行上时使用）来升级@host的authorized_keys文件。sed -e 1d -i .ssh/authorized_keys1

   2. 如果可以的话，我建议升级您的ssh服务器。

   3. 登出

4. 测试旧密钥是否不再起作用。

   ssh -i .ssh/id_dsa.pub -o PubkeyAcceptedKeyTypes=+ssh-dss user@host
   ...
   Permission denied...
   

   这不必工作;-)

5. 您甚至可以重新检查是否一切正常：

   ssh user@host uptime