在使用 git 时,我遇到了以下错误:
$ git pull
Unable to negotiate with 172.16.42.42 port 22: no matching host key type found. Their offer: ssh-rsa
fatal: Could not read from remote repository.
Please make sure you have the correct access rights
and the repository exists.
我该如何解决这个错误?
使用SSH时,有几种不同类型的密钥,其中RSA密钥(ssh-rsa)类型可以支持多种签名类型。签名类型 ssh-rsa指的是带有SHA-1的RSA,而签名类型rsa-sha2-256是带有SHA-256的RSA,rsa-sha2-512是带有SHA-512的RSA。
在Azure DevOps中,它仅支持带有SHA-1的RSA类型,而SHA-1被认为非常脆弱。这基本上意味着没有安全的方法通过SSH连接到它,直到他们修复问题,最好使用HTTPS或其他托管服务。GitHub,GitLab和Bitbucket都支持安全的身份验证方法。
如果您真的需要目前使用SSH与Azure DevOps,请向~/.ssh/config文件添加一个条目以解决此问题:
Host ssh.dev.azure.com
User git
PubkeyAcceptedAlgorithms +ssh-rsa
HostkeyAlgorithms +ssh-rsa
然而,请注意这只是一种解决问题的方法,已知存在安全隐患,因此您应该联系Azure DevOps解决此问题并切换到HTTPS,或者迁移到其他地方。
PubkeyAcceptedKeyTypes而不是PubkeyAcceptedAlgorithms(如此处所述)。 - Nickolay如果连接的服务器提供了ssh-rsa(RSA/SHA1)进行身份验证,OpenSSH将报告错误no matching host key type found. Their offer: ssh-rsa。
Azure Devops(TFS)提供使用ssh-rsa进行身份验证。正如bk2204的答案中所指出的那样,此算法不被认为是密码学安全的。
由于它被认为是弱的,OpenSSH在2020-02-14的版本8.2中废弃了使用SHA-1。
现在可以[1]以低于50,000美元的价格对SHA-1哈希算法执行选择前缀攻击。因此,在不久的将来的发布版本中,默认情况下禁用依赖于SHA-1的“ssh-rsa”公钥签名算法。
Azure Devops 服务随后宣布修补程序以允许SHA-2。
2021年5月5日,Azure DevOps文档更新,提到使用RSA 3072。
¯\_(ツ)_/¯
没有地方说。可能只支持ssh-rsa。
添加此内容
HostkeyAlgorithms +ssh-rsa
PubkeyAcceptedAlgorithms +ssh-rsa
打开你的~/.ssh/config文件
Host your-azure-devops-domain
IdentityFile ~/.ssh/id_rsa
IdentitiesOnly yes
HostkeyAlgorithms +ssh-rsa
PubkeyAcceptedAlgorithms +ssh-rsa
ssh.dev.azure.com主机配置添加到~/.ssh/config文件中:
Final
~/.ssh/configthat worked for me:Host ssh.dev.azure.com HostName ssh.dev.azure.com User git IdentityFile ~/.ssh/id_rsa IdentitiesOnly yes PubkeyAcceptedAlgorithms +ssh-rsa HostkeyAlgorithms +ssh-rsa
IdentitiesOnly yes PubkeyAcceptedAlgorithms +ssh-rsa HostkeyAlgorithms +ssh-rsa。 - Kunal Awasthivs-ssh.visualstudio.com。 - elulcaoscp或ssh可以使用此功能
ssh -p 22 -o HostKeyAlgorithms=+ssh-rsa -o PubkeyAcceptedKeyTypes=+ssh-rsa user@myhost
# or scp
scp -P 22 -o HostKeyAlgorithms=+ssh-rsa -o PubkeyAcceptedKeyTypes=+ssh-rsa user@myhost
sftp -P 22 -o HostKeyAlgorithms=+ssh-rsa -o PubkeyAcceptedKeyTypes=+ssh-rsa user@myhost - Jesse Nickles对于使用Azure DevOps的用户,应使用以下〜/ .ssh / config ,因为Azure在其Clone Repository中返回URL时会有所不同:
Host ssh.dev.azure.com
PubkeyAcceptedAlgorithms +ssh-rsa
HostkeyAlgorithms +ssh-rsa
Host vs-ssh.visualstudio.com
PubkeyAcceptedAlgorithms +ssh-rsa
HostkeyAlgorithms +ssh-rsa
~/.ssh/config文件中,添加这些行。Host *.drush.in
HostkeyAlgorithms +ssh-rsa
PubkeyAcceptedAlgorithms +ssh-rsa
我也遇到了这个问题,以下方法适用于我:
cd ~/.ssh/
vim config
Host [Hostname]
User [User]
PubkeyAcceptedAlgorithms +ssh-rsa
HostkeyAlgorithms +ssh-rsa
我有几个主机名遇到了这个问题,所以现在我的ssh配置文件中有多个这样的配置。
这里有两个步骤:
将配置文件(无扩展名)添加到您的 ~/.ssh/ 目录中。
在配置文件中添加以下内容:
HostkeyAlgorithms +ssh-rsa
PubkeyAcceptedAlgorithms +ssh-rsa
~/.ssh/config中添加这两行就解决了我的问题,在Mac上更新到Sonoma后我的使用情况。 - undefined对于已发布答案的更正。我遇到了相同的问题,通过以上代码片段并进行微小修复,我解决了它:
Host YOUR-DOMAIN
Hostname YOUR-DOMAIN
IdentityFile ~/.ssh/id_rsa
IdentitiesOnly yes
HostKeyAlgorithms=+ssh-rsa
PubkeyAcceptedAlgorithms=+ssh-rsa
YOUR-DOMAIN。NixOS 21.11已将OpenSSH更新至8.8p1(请参见更新日志)。OpenSSH将ssh-rsa与其他几个不安全的密码一起弃用。
如果我理解正确,你只是使用nix作为软件包管理器而不是NixOS。如果是这种情况,您可以按照其余答案中的指南进行操作(编辑~/.ssh/config)。
但是,当您使用NixOS配置服务器时,可以通过向configuration.nix添加以下内容来重新启用ssh客户端的ssh-rsa:
programs.ssh.extraConfig = ''
PubkeyAcceptedAlgorithms +ssh-rsa
HostkeyAlgorithms +ssh-rsa
''
configuration.nix文件中:services.openssh.extraConfig = ''
PubkeyAcceptedAlgorithms +ssh-rsa
HostkeyAlgorithms +ssh-rsa
'';