Cloud-init项目中SSH密码认证配置问题的分析与解决

问题背景

在Ubuntu 24.04.1 LTS服务器环境中，用户发现无法通过常规方法禁用SSH的密码认证功能。尽管在/etc/ssh/sshd_config中设置了PasswordAuthentication no，系统仍然允许通过密码登录。经过排查，发现这是由于/etc/ssh/sshd_config.d/50-cloud-init.conf文件的存在，该文件默认启用了密码认证，并且会覆盖主配置文件中的设置。

技术原理分析

Cloud-init是云环境中广泛使用的初始化工具，它会在系统首次启动时执行各种配置任务。在Ubuntu 24.04的安装过程中，默认安装器会通过cloud-init创建一个50-cloud-init.conf文件，其中包含PasswordAuthentication yes的设置。这个文件位于/etc/ssh/sshd_config.d/目录下，而现代SSH服务配置采用分散式架构，会读取该目录下所有.conf文件并按字母顺序合并配置。

解决方案

方法一：创建优先级更高的配置文件

1. 创建/etc/ssh/sshd_config.d/10-my-config.conf文件
2. 在文件中添加PasswordAuthentication no设置
3. 确保文件权限为600
4. 重启SSH服务使配置生效

这种方法的优势在于不会修改系统默认文件，便于后续维护和升级。

方法二：直接修改cloud-init配置

1. 编辑/etc/cloud/cloud.cfg.d/目录下的配置文件
2. 添加ssh_pwauth: false设置
3. 运行cloud-init clean命令清除缓存
4. 重启系统使配置生效

这种方法适用于需要长期禁用密码认证的环境，但需要注意错误的配置可能导致SSH服务不可用。

方法三：修改主配置文件

1. 编辑/etc/ssh/sshd_config文件
2. 确保包含PasswordAuthentication no设置
3. 在文件末尾添加Include /etc/ssh/sshd_config.d/*.conf
4. 重启SSH服务

这种方法最为直接，但可能在未来系统更新时被覆盖。

最佳实践建议

1. 优先使用第一种方法，因为它遵循了现代Linux配置的模块化原则
2. 修改前备份重要配置文件
3. 每次修改后使用sshd -t命令测试配置语法
4. 保持至少一个活跃的SSH会话，避免配置错误导致锁定
5. 对于生产环境，建议结合防火墙规则限制SSH访问源

总结

Cloud-init作为云环境初始化工具，其默认行为可能会影响系统安全配置。理解SSH配置文件的加载顺序和优先级对于系统管理员至关重要。通过创建优先级更高的配置文件，可以优雅地覆盖默认设置，同时保持系统的可维护性。对于安全要求较高的环境，建议完全禁用密码认证，仅使用密钥认证方式。