如何解决“sign_and_send_pubkey:签名失败:代理拒绝操作”?

用SSH密钥配置一个新的数字海洋液滴。当我运行ssh-copy-id时，这是我得到的:

ssh-copy-id user@012.345.67.89
/usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed
/usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys
sign_and_send_pubkey: signing failed: agent refused operation
user@012.345.67.89's password: 

Number of key(s) added: 1

Now try logging into the machine, with:   "ssh 'user@012.345.67.89'"
and check to make sure that only the key(s) you wanted were added.

然而，当我尝试ssh时，会发生这种情况:

ssh user@012.345.67.89
sign_and_send_pubkey: signing failed: agent refused operation
user@012.345.67.89's password:

输入密码后，我可以正常登录，但这当然违背了创建SSH密钥的初衷。我决定看看ssh-agent服务器端，下面是我得到的:

user@012.345.67.89:~# eval `ssh-agent -s`
Agent pid 5715
user@012.345.67.89:~# ssh-add -l
The agent has no identities.

用户/。Ssh /authorized_keys也包含Ssh -rsa密钥条目，但是find name "keynamehere"没有返回任何内容。

当前回答

导致SSH错误的原因有很多:

Sign_and_send_pubkey:签名失败:代理拒绝操作

其中一些问题可能与其他答案所强调的问题有关(请参阅此线程的答案)，其中一些问题可能被隐藏，因此需要更仔细的调查。

在我的情况下，我得到了以下错误消息:

Sign_and_send_pubkey:签名失败:代理拒绝操作 user@website.domain.com:权限被拒绝(publickey, gsapi -keyex, gsapi -with-mic)

找到真正问题的唯一方法是调用-v verbose选项，这将导致打印大量调试信息:

debug1: Connecting to website.domain.com [xxx.xxx.xxx.xxx] port 22.
debug1: Connection established.
debug1: identity file /home/user/.ssh/id_rsa.website.domain.com type 0
debug1: key_load_public: No such file or directory
debug1: identity file /home/user/.ssh/id_rsa.website.domain.com-cert type -1

请注意，key_load_public: No such file或directory指的是下一行，而不是上一行。

因此，SSH真正说的是，它无法找到名为id_rsa.website.domain.com-cert的公钥文件，这似乎是我的情况下的问题，因为我的公钥文件不包含-cert后缀。

长话短说:在我的案例中，修复只是确保公钥文件按预期命名。如果不调试连接，我绝不会怀疑这一点。

底线是使用SSH VERBOSE模式(-v选项)来找出哪里出了问题，可能有各种原因，在这个/另一个线程上找不到任何原因。

2018-12-11 10:46:41

其他回答

这可能导致1password不支持ssh-rsa密钥交换。出于安全考虑，它们支持更新的rsa-sha-512和rsa-sha-256。

https://1password.community/discussion/comment/632712/#Comment_632712

2022-08-01 09:53:52

这里工作的是:在客户端上

1) ssh-add

2) ssh-copy-id user@server

密钥已经在一段时间前使用简单的“ssh-keygen -t rsa”创建我看到了错误消息，因为我没有首先运行ssh-add就将ssh公钥从客户端复制到服务器(使用ssh-id-copy)，因为我错误地认为我已经在一段时间之前添加了它们。

2020-01-21 15:10:29

对于那些最近升级到“现代”ssh版本[OpenSSH_8.1p1, OpenSSL 1.1.1d FIPS 2019年9月10日]-与fedora 31一起提供，似乎不再接受旧的DSA SHA256密钥(我的日期是2006年!)-创建了一个新的rsa密钥，公共添加到授权，客户端私有，一切都完美地工作。

感谢之前的建议，特别是SSH -v非常有用

2020-04-15 16:14:32

我需要分享，因为我花了太多时间寻找解决方案

这就是解决方案:https://unix.stackexchange.com/a/351742/215375

我正在使用这个命令:

ssh-keygen -o -t rsa -b 4096 -C "email@example.com"

Gnome-keyring不支持生成的密钥。

删除-o参数解决了这个问题。

2019-12-09 09:40:47

根据Github安全博客，SHA-1的RSA密钥不再被接受。

使用以下命令创建新的带有ECDSAencryption的SSH密钥，并将其添加到Github。

ssh-keygen -t ecdsa -b 521 -C "your_email@example.com"

原始答案和细节可以在这里找到

2022-05-24 14:46:45

如何解决“sign_and_send_pubkey:签名失败:代理拒绝操作”?

推荐文章

最新文章

标签