jenkins升级,涉及ssh remote执行出现Algorithm negotiation fail
问题:jenkins升级,发现自由风格job和流水线在用到ssh remote命令连接远程服务器的时候出现Algorithm negotiation fail错误。如下错误:1、algorithmName="server_host_key",2、algorithmName="kex"
com.jcraft.jsch.JSchAlgoNegoFailException: Algorithm negotiation fail: algorithmName="server_host_key" jschProposal="ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521,rsa-sha2-512,rsa-sha2-256" serverProposal="ssh-rsa,ssh-dss"
定位:
根据查询发现是因为ssh插件升级,依赖的jsch包也升级了。当jsch的版本从0.1.x升级到0.2.x的时候,由于0.2觉得ssh-rsa,ssh-dss算法有漏洞就禁用了。而linux服务器的版本不变,依然用的ssh-rsa和ssh-dss算法。https://github.com/mwiede/jsch#why-do-ssh-rsa-type-keys-not-work-with-this-jsch-fork-and-my-server
其中 jschProposal 是我们的Jenkins SSH插件启用的算法列表,而 serverProposal 是服务端支持的算法列表。
解决:
通过访问jsch,发现可以通过配置将ssh-rsa、ssh-dss放行。1、在java -jar启动jenkins.war的时候加参数指定。2、在jenkins系统配置上通过java命令把参数追加进去。
-Djsch.client_pubkey=ssh-rsa,ssh-dss,ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521,rsa-sha2-512,rsa-sha2-256
-Djsch.server_host_key=ssh-rsa,ssh-dss,ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521,rsa-sha2-512,rsa-sha2-256其它
另外可能还会出现kex的错误,解决方法同server_host_key。-Djsch.server_host_key换成-Djsch.kex=