OPNsense中SSH公钥无法写入authorized_keys文件的问题解析与修复

在OPNsense防火墙系统的25.1版本中，用户报告了一个关于SSH公钥认证的重要问题：通过Web界面为root用户添加SSH公钥时，系统虽然显示操作成功，但实际上并未将公钥写入~/.ssh/authorized_keys文件。本文将深入分析该问题的技术背景、原因及解决方案。

问题现象

当管理员通过OPNsense的Web界面（系统→访问→用户）尝试为root用户添加SSH公钥时，界面显示操作成功，但检查目标用户的authorized_keys文件却发现内容为空。手动编辑该文件添加公钥后，SSH连接可以正常工作，这表明问题出在系统的公钥写入机制上。

技术背景

OPNsense使用一个名为sync_user.php的PHP脚本处理用户认证信息的同步工作。该脚本负责将Web界面中的用户配置（包括SSH公钥）同步到系统的实际配置文件中。在25.1版本中，用户管理模块经历了重构，可能引入了一些边界条件处理上的缺陷。

问题根源分析

从系统日志中可以发现关键错误信息：

Script action failed with Command '/usr/local/opnsense/scripts/auth/sync_user.php -u ''' returned non-zero exit status 255

这表明sync_user.php脚本在执行时遇到了问题，具体表现为：

1. 脚本参数传递可能不正确（空的用户名参数）
2. 脚本在处理特定用户（如root）时存在逻辑缺陷
3. 新版本的用户管理模块可能未能正确处理SSH公钥的写入流程

解决方案

OPNsense开发团队迅速响应，在master分支中修复了三个与此相关的问题。这些修复包括：

1. 修复了用户参数传递机制，确保用户名正确传递给同步脚本
2. 改进了SSH公钥的验证和写入逻辑
3. 增强了边界条件处理，防止空值或异常情况导致脚本失败

修复后的版本（25.1.b_134）经测试已能正确处理SSH公钥的添加操作。

最佳实践建议

对于使用OPNsense的管理员，建议：

1. 定期检查authorized_keys文件内容，确认SSH公钥已正确写入
2. 升级到包含修复的版本后，重新添加SSH公钥以确保配置正确
3. 对于关键系统账户，考虑同时使用Web界面和手动验证两种方式管理SSH访问

总结

这个案例展示了开源社区响应和解决问题的典型流程：用户报告→开发者分析→多问题修复→快速发布更新→用户验证。OPNsense团队在一天内就定位并修复了多个相关问题，体现了开源项目的高效协作优势。对于系统管理员而言，及时关注和升级到修复版本是确保系统安全可靠运行的关键。