pgBackRest连接SFTP存储库时的密钥认证问题解析与解决方案

问题背景

在使用pgBackRest配置SFTP类型存储库时，用户遇到公共密钥认证失败的问题。错误信息显示libssh2库返回错误代码-19，提示密钥认证失败。这种情况常发生在使用非OpenSSL编译的libssh2版本或密钥格式不兼容时。

错误分析

从技术层面来看，该错误主要涉及以下几个关键点：

1. libssh2兼容性问题：错误提示明确指出libssh2可能编译时未使用OpenSSL库，这种情况下必须显式提供私钥和公钥文件路径。

2. 密钥格式要求：

   • 对于libssh2 1.9.0之前的版本，要求使用PEM格式的密钥对
   • 新版虽然支持更多格式，但仍有特定要求

3. 连接参数配置：用户案例中实际还存在端口配置错误（StorageBox使用23端口而非默认22端口）

解决方案

1. 密钥生成与格式转换

对于旧版libssh2兼容性问题，建议使用以下命令生成PEM格式密钥：

ssh-keygen -m PEM -t rsa -P "" -f /path/to/keyfile

这将生成：

• 私钥文件：/path/to/keyfile
• 公钥文件：/path/to/keyfile.pub

2. 配置文件调整

在pgBackRest配置中确保包含以下参数：

[global]
repo2-type=sftp
repo2-sftp-host=your-storagebox.example.com
repo2-sftp-host-user=username
repo2-sftp-private-key-file=/path/to/private_key
repo2-sftp-public-key-file=/path/to/public_key.pub
repo2-sftp-port=23  # 注意非标准端口配置

3. 权限设置

确保密钥文件权限正确：

• 私钥：600（仅所有者可读写）
• 公钥：644（所有者可读写，其他用户只读）

4. 连接测试

建议先使用标准sftp命令测试连接：

sftp -oPort=23 -i /path/to/private_key username@your-storagebox.example.com

技术要点总结

1. libssh2版本差异：

   • 新版本（≥1.9.0）支持更多密钥格式
   • 旧版本严格要求PEM格式

2. 密钥管理最佳实践：

   • 为不同服务使用独立密钥对
   • 定期轮换密钥
   • 避免使用空密码短语

3. 网络配置注意事项：

   • 注意非标准端口配置
   • 防火墙设置可能影响连接
   • 主机密钥验证机制

进阶建议

对于生产环境，建议：

1. 使用更安全的加密算法（如ed25519）
2. 设置密钥密码短语（需配合ssh-agent使用）
3. 实施基于证书的认证（如支持）
4. 定期验证备份可恢复性

通过以上措施，可以确保pgBackRest与SFTP存储库建立安全可靠的连接，为数据库备份提供稳定支持。