Oxidized项目中Fortigate设备SSH密钥认证失败问题分析与解决方案

问题背景

在使用Oxidized网络配置备份工具管理Fortigate防火墙设备时，部分用户遇到了一个特殊的SSH认证问题。当Oxidized通过SSH密钥方式登录Fortigate设备时，系统会先出现一次认证失败，随后才能成功登录并获取配置。经过深入分析，发现这与Fortigate设备对公钥算法的支持程度有关。

技术分析

根本原因

通过Fortigate设备的调试日志可以观察到，系统会记录以下错误信息：

SSH: userauth_pubkey: unsupported public key algorithm: rsa-sha2-256

这表明Fortigate设备不支持rsa-sha2-256公钥算法，而Oxidized默认可能会尝试使用这种较新的算法进行认证。当首次尝试失败后，Oxidized会回退到设备支持的算法，从而最终能够成功认证。

影响范围

这个问题主要出现在以下环境中：

1. 运行较旧版本FortiOS的Fortigate设备（特别是7.0.13及以下版本）
2. 使用Oxidized 0.30.1及以上版本
3. 采用SSH密钥认证方式

解决方案

方案一：升级FortiOS版本

最彻底的解决方案是将Fortigate设备升级到支持rsa-sha2-256算法的版本：

• FortiOS 7.2.10及以上版本
• FortiOS 7.0.14及以上版本
• FortiOS 7.28及以上版本

升级后，设备将能正确处理新的公钥算法，消除认证失败问题。

方案二：重新生成SSH密钥

对于无法立即升级的设备，可以尝试重新生成SSH密钥对：

1. 在Oxidized服务器上生成传统RSA密钥：

   ssh-keygen -t rsa -b 2048
   

2. 将新生成的公钥部署到Fortigate设备

方案三：Fortigate端密钥重置

在某些情况下，特别是从较旧版本(如6.4.x)升级到7.4.x系列后，可能需要执行以下操作：

1. 登录Fortigate CLI
2. 执行命令：execute ssh-regen-keys
3. 重新部署Oxidized的公钥

补充说明

虽然这个问题表现为"认证失败"，但实际上Oxidized仍能最终成功连接设备。这种现象是由于SSH协议的安全机制导致的正常行为 - 当客户端尝试使用不受支持的算法时，服务器会拒绝该请求，然后客户端会自动尝试其他支持的算法。

对于网络管理员而言，如果观察到日志中的这类错误，不必过度担忧，但可以考虑采取上述解决方案来优化连接过程。同时，建议定期升级网络设备固件，以获得更好的安全性和兼容性支持。

最佳实践建议

1. 保持Oxidized和网络设备固件版本更新
2. 对于关键设备，建议使用专用于Oxidized的独立账户和密钥
3. 定期检查Oxidized日志，及时发现并解决连接问题
4. 在升级FortiOS大版本前，建议先备份SSH密钥配置