ssh免密钥登录失败原因排查

最近多次遇到不同原因导致ssh免密钥登录的问题，明明都配置好了，但是就是不通。
这里记录一下排查问题的思路，作为备忘。
具体如何配置，网上文章很多，这里就不再重复。

查看debug日志很关键

客户端：参数加-v，比如ssh -v xxx.com
服务端：vim /etc/ssh/sshd_config修改日志等级为DEBUG

LogLevel	INFO

改为

LogLevel	DEBUG

重启sshd: systemctl restart sshd
然后通过tail -f /var/log/sshd.log查看日志

场景一

ssh时报:

ssh_exchange_identification: read: Connection reset by peer

查看客户端日志，发现都还没开始进行public key认证。
服务端sshd日志：

 debug1: Connection refused by tcp wrapper
 refused connect from 172.19.103.2 (172.19.103.2)

这个原因是因为在/etc/hosts.deny中配置了

sshd:ALL

默认策略是全部拒绝，直接把sshd:ALL这个配置删掉，或者/etc/hosts.allow中把对应的ip加上，问题得到解决。

场景二

ssh时报：

Permission denied (publickey).

客户端debug信息看不出啥，看服务端sshd日志:

Authentication refused: bad ownership or modes for file /root/.ssh/authorized_keys

然后发现~/.ssh/authorized_keys文件的所有者居然不是当前用户。。。不知道被是改了，坑。。。改完以后可正常ssh登录

场景三

ssh时报：
···
Permission denied (publickey).
···
客户端日志正常。
服务端日志：

Failed publickey for root from 172.19.103.2 port 60516 
Connection closed by 172.19.103.2 port 60516

重点是"Failed publickey for root"这句。难道是公钥不对？再仔细检查~/.ssh/authorized_keys文件里面配置的公钥，果然发现复制的时候少了一个s。。。

参考文章：
指定sshd的日志存储位置
Permission denied (publickey)