服务器系统重装ssh失败

起因

前不久安装了三台服务器系统，安装过程比较顺利，没遇到什么问题。但是后面部署业务时，发现有一台服务器硬盘只有16G，排查发现系统竟然存在16个用户分区。
经分析大概率是安装系统时未清空原有Windows Server系统分区。为防止出现意外，就重装系统来解决。
重装过程非常顺利，按照之前整理的经验，直接就安装完成了。

但是服务器系统重装之后，发现用我个人电脑远程连接服务器时报异常：

gure@gure-tm1701:~$ ssh root@192.168.102.162
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@    WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!     @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that a host key has just been changed.
The fingerprint for the ED25519 key sent by the remote host is
SHA256:S/LpJdTbZnsVjPCxLhV+pA4VQSejKh109bR1Tknliv8.
Please contact your system administrator.
Add correct host key in /home/gure/.ssh/known_hosts to get rid of this message.
Offending ECDSA key in /home/gure/.ssh/known_hosts:16
  remove with:
  ssh-keygen -f '/home/gure/.ssh/known_hosts' -R '192.168.102.162'
Host key for 192.168.102.162 has changed and you have requested strict checking.
Host key verification failed.
gure@gure-tm1701:~$ 

过程

查询资料发现，原来问题出在身份密钥ssh上面。

ssh服务是通过公钥和私钥来进行连接的，该方式广泛的用在linux服务验证、git身份验证上。
ssh服务连接远程服务时，会把每个曾经访问过计算机或服务器的公钥（public key），记录在 ~/.ssh/known_hosts 中。
当ssh服务再次访问服务时，会核对公钥。如果密钥和记录不同，OpenSSH会发出警告。
WARNING:REMOTE HOST IDENTIFICATION HAS CHANGED!报错是由于远程的主机的公钥发生了变化导致的。

此时解决问题需要用ssh-keygen。ssh-keygen用于为SSH创建新的身份验证密钥对的工具。
我们使用-R参数删除指定服务对应的公钥即可。

gure@gure-tm1701:~$ ssh-keygen -R 192.168.102.162
# Host 192.168.102.162 found: line 15
# Host 192.168.102.162 found: line 16
/home/gure/.ssh/known_hosts updated.
Original contents retained as /home/gure/.ssh/known_hosts.old
gure@gure-tm1701:~$ 

再次连接服务正常了。

gure@gure-tm1701:~$ ssh-keygen -R 192.168.102.162
# Host 192.168.102.162 found: line 15
# Host 192.168.102.162 found: line 16
/home/gure/.ssh/known_hosts updated.
Original contents retained as /home/gure/.ssh/known_hosts.old
gure@gure-tm1701:~$ ssh root@192.168.102.162
The authenticity of host '192.168.102.162 (192.168.102.162)' can't be established.
ED25519 key fingerprint is SHA256:S/LpJdTbZnsVjPCxLhV+pA4VQSejKh109bR1Tknliv8.
This key is not known by any other names.
Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
Warning: Permanently added '192.168.102.162' (ED25519) to the list of known hosts.
root@192.168.102.162's password: 
Last login: Fri Aug 16 17:48:23 2024
[root@bogon ~]# df -h
文件系统                 容量  已用  可用 已用% 挂载点
devtmpfs                  16G     0   16G    0% /dev
tmpfs                     16G     0   16G    0% /dev/shm
tmpfs                     16G   10M   16G    1% /run
tmpfs                     16G     0   16G    0% /sys/fs/cgroup
/dev/mapper/centos-root   50G  1.8G   49G    4% /
/dev/sda1               1014M  151M  864M   15% /boot
/dev/mapper/centos-home  492G   33M  492G    1% /home
tmpfs                    3.1G     0  3.1G    0% /run/user/0
[root@bogon ~]# 

扩展

ssh-keygen常用的选项有： 
-a trials 在使用 -T 对 DH-GEX 候选素数进行安全筛选时需要执行的基本测试数量。 
-B 显示指定的公钥/私钥文件的 bubblebabble 摘要。 
-b bits 指定密钥长度。对于RSA密钥，最小要求768位，默认是2048位。DSA密钥必须恰好是1024位(FIPS 186-2 标准的要求)。 
-C comment 提供一个新注释 
-c 要求修改私钥和公钥文件中的注释。本选项只支持 RSA1 密钥。 程序将提示输入私钥文件名、密语(如果存在)、新注释。 
-D reader 下载存储在智能卡 reader 里的 RSA 公钥。 
-e 读取OpenSSH的私钥或公钥文件，并以 RFC 4716 SSH 公钥文件格式在 stdout 上显示出来。 
该选项能够为多种商业版本的 SSH 输出密钥。 
-F hostname 在 known_hosts 文件中搜索指定的 hostname ，并列出所有的匹配项。 
这个选项主要用于查找散列过的主机名/ip地址，还可以和 -H 选项联用打印找到的公钥的散列值。 
-f filename 指定密钥文件名。 
-G output_file 为 DH-GEX 产生候选素数。这些素数必须在使用之前使用 -T 选项进行安全筛选。 
-g 在使用 -r 打印指纹资源记录的时候使用通用的 DNS 格式。 
-H 对 known_hosts 文件进行散列计算。这将把文件中的所有主机名/ip地址替换为相应的散列值。 
原来文件的内容将会添加一个”.old”后缀后保存。这些散列值只能被 ssh 和 sshd 使用。 
这个选项不会修改已经经过散列的主机名/ip地址，因此可以在部分公钥已经散列过的文件上安全使用。 
-i 读取未加密的SSH-2兼容的私钥/公钥文件，然后在 stdout 显示OpenSSH兼容的私钥/公钥。 
该选项主要用于从多种商业版本的SSH中导入密钥。 
-l 显示公钥文件的指纹数据。它也支持 RSA1 的私钥。 
对于RSA和DSA密钥，将会寻找对应的公钥文件，然后显示其指纹数据。 
-M memory 指定在生成 DH-GEXS 候选素数的时候最大内存用量(MB)。 
-N new_passphrase 提供一个新的密语。 
-P passphrase 提供(旧)密语。 
-p 要求改变某私钥文件的密语而不重建私钥。程序将提示输入私钥文件名、原来的密语、以及两次输入新密语。 
-q 安静模式。用于在 /etc/rc 中创建新密钥的时候。 
-R hostname 从 known_hosts 文件中删除所有属于 hostname 的密钥。 
这个选项主要用于删除经过散列的主机(参见 -H 选项)的密钥。 
-r hostname 打印名为 hostname 的公钥文件的 SSHFP 指纹资源记录。 
-S start 指定在生成 DH-GEX 候选模数时的起始点(16进制)。 
-T output_file 测试 Diffie-Hellman group exchange 候选素数(由 -G 选项生成)的安全性。 
-t type 指定要创建的密钥类型。可以使用：”rsa1”(SSH-1) “rsa”(SSH-2) “dsa”(SSH-2) 
-U reader 把现存的RSA私钥上传到智能卡 reader 
-v 详细模式。ssh-keygen 将会输出处理过程的详细调试信息。常用于调试模数的产生过程。 
重复使用多个 -v 选项将会增加信息的详细程度(最大3次)。 
-W generator 指定在为 DH-GEX 测试候选模数时想要使用的 generator 
-y 读取OpenSSH专有格式的公钥文件，并将OpenSSH公钥显示在 stdout 上。