SSH Permission denied (publickey): Детальный разбор ошибки

Узнайте, почему возникает ошибка 'SSH Permission denied (publickey)' и как ее эффективно исправить. Подробный гайд по диагностике и устранению проблем аутент...

Mark Fielding·29 апреля 2026 г.·9 мин чтения

Иллюстрация: замок с ключом и символом SSH, на фоне бинарный код, символизирующий безопасное соединение и решение проблем доступа.

Ошибка "SSH Permission denied (publickey)" означает, что SSH-сервер не смог успешно аутентифицировать клиента, используя предоставленный публичный ключ. Это происходит, когда сервер не находит соответствующего приватного ключа на клиенте или когда разрешения на ключевые файлы (как на клиенте, так и на сервере) установлены неверно, блокируя доступ к ним. Также причиной может быть неправильный формат ключа или отсутствие публичного ключа в файле ~/.ssh/authorized_keys на сервере. Для решения проблемы требуется систематическая проверка конфигурации ключей и прав доступа к файлам на обеих сторонах соединения, что обеспечит корректную работу SSH-аутентификации.

Понимание аутентификации по ключу SSH

Аутентификация по ключу SSH предлагает более безопасный и удобный метод доступа к удаленным серверам по сравнению с традиционными паролями. В основе этого механизма лежит пара криптографических ключей: приватный ключ, который хранится на клиентской машине и должен быть строго конфиденциальным, и публичный ключ, который может быть свободно распределен. Этот метод опирается на асимметричную криптографию. В частности, протокол аутентификации SSH описан в RFC 4252, который определяет, как клиент доказывает свою подлинность серверу, не передавая приватный ключ по сети.

Процесс аутентификации начинается, когда клиент пытается подключиться к серверу. Сервер отправляет клиенту случайное сообщение, которое клиент подписывает своим приватным ключом. Затем клиент отправляет подписанное сообщение обратно на сервер. Сервер, используя хранящийся у него публичный ключ клиента, пытается проверить эту подпись. Если подпись верна, сервер подтверждает личность клиента и предоставляет доступ. Если подпись не совпадает или публичный ключ отсутствует, сервер отклоняет соединение с ошибкой "Permission denied (publickey)".

Использование SSH-ключей существенно повышает безопасность, так как приватный ключ никогда не передается по сети, а аутентификация не подвержена атакам методом перебора паролей. Кроме того, ключи могут быть защищены дополнительной парольной фразой, добавляя еще один уровень защиты.

Основные причины ошибки "Permission denied (publickey)"

Ошибка "Permission denied (publickey)" является одной из наиболее распространенных проблем при использовании SSH-ключей. Ее появление свидетельствует о том, что сервер не смог успешно проверить подлинность клиента. Диагностика требует внимательной проверки нескольких ключевых аспектов как на клиентской, так и на серверной стороне. Рассмотрим наиболее частые причины возникновения этой ошибки.

Неверные разрешения файлов на клиенте

Симптом: Вы уверены, что используете правильный приватный ключ, но подключение все равно отклоняется с ошибкой "Permission denied". Подробный вывод SSH-клиента (ssh -v) может указывать на проблемы с разрешениями. SSH-клиент очень строго относится к правам доступа к файлам ключей.

Причина: Приватный ключ (например, ~/.ssh/id_rsa) и директория ~/.ssh имеют слишком широкие разрешения, что позволяет другим пользователям вашей системы получить к ним доступ. SSH-клиент считает это угрозой безопасности и отказывается использовать такие ключи. Например, если приватный ключ доступен для чтения группе или другим пользователям, SSH не будет его использовать.

Решение: Установите корректные разрешения для вашей директории ~/.ssh и файлов ключей. Директория ~/.ssh должна иметь разрешения 700 (только владелец может читать, записывать и выполнять). Приватный ключ (например, id_rsa) должен иметь разрешения 600 (только владелец может читать и записывать). Публичный ключ (id_rsa.pub) может иметь 644.

chmod 700 ~/.ssh
chmod 600 ~/.ssh/id_rsa
chmod 644 ~/.ssh/id_rsa.pub

Проверьте текущие разрешения с помощью команды ls -la ~/.ssh/. Настройка прав доступа в Linux является фундаментальной для безопасности системы.

Неверные разрешения файлов на сервере

Симптом: После копирования публичного ключа на сервер вы по-прежнему получаете "Permission denied". Логи сервера (/var/log/auth.log или journalctl -u sshd) могут содержать записи о проблемах с правами доступа к файлам ключей или домашней директории пользователя.

Причина: SSH-сервер не может прочитать файл ~/.ssh/authorized_keys или директорию ~/.ssh из-за некорректных прав доступа. Кроме того, домашняя директория пользователя на сервере (например, /home/user) также должна иметь адекватные разрешения, обычно 755 или 700, чтобы SSH-сервер мог получить к ней доступ. Если домашняя директория доступна для записи группе или другим пользователям, это может вызвать отказ.

Решение: Подключитесь к серверу другим способом (например, по паролю, если он включен, или через веб-консоль провайдера) и проверьте разрешения. Установите следующие права доступа:

Домашняя директория пользователя (~): 755 или 700.
Директория ~/.ssh: 700.
Файл ~/.ssh/authorized_keys: 600.

chmod 700 ~/.ssh
chmod 600 ~/.ssh/authorized_keys
# Убедитесь, что домашняя директория не доступна для записи другим
chmod 755 ~

Также проверьте, что владельцем этих файлов является сам пользователь: chown user:user ~/.ssh -R.

Отсутствие или неверный публичный ключ на сервере

Симптом: Несмотря на правильные разрешения, аутентификация по ключу не проходит. В логах сервера может быть указано, что ни один ключ не совпал, или что публичный ключ не был найден.

Причина: Ваш публичный ключ либо отсутствует в файле ~/.ssh/authorized_keys на сервере, либо был скопирован с ошибками (например, с лишними пробелами, переносами строк или поврежденными символами). Каждая строка в authorized_keys должна содержать один полный публичный ключ.

Решение: Наиболее надежный способ скопировать публичный ключ — использовать утилиту ssh-copy-id. Она автоматически создает директорию ~/.ssh (если ее нет), устанавливает правильные разрешения и добавляет ключ в authorized_keys.

ssh-copy-id -i ~/.ssh/id_rsa.pub user@your_server_ip

Если ssh-copy-id недоступен или вы предпочитаете ручной метод, убедитесь, что вы скопировали содержимое вашего публичного ключа (cat ~/.ssh/id_rsa.pub) и вставили его одной строкой в файл ~/.ssh/authorized_keys на сервере. Проверьте содержимое этого файла на сервере с помощью cat ~/.ssh/authorized_keys.

Проблемы с SSH-агентом

Симптом: При каждом подключении SSH запрашивает парольную фразу для вашего приватного ключа, или аутентификация просто не проходит без запроса. Это особенно заметно при использовании ключей, защищенных парольной фразой.

Причина: SSH-агент не запущен, или ваш приватный ключ не был добавлен в агент. SSH-агент — это программа, которая хранит ваши приватные ключи в расшифрованном виде в памяти, избавляя вас от необходимости вводить парольную фразу при каждом подключении. Если агент не активен, SSH-клиент может не найти ключи или не сможет их использовать.

Решение: Убедитесь, что SSH-агент запущен и ваш ключ добавлен. Вы можете запустить агент и добавить ключ следующими командами:

eval "$(ssh-agent -s)"
ssh-add ~/.ssh/id_rsa

Если вы используете несколько ключей, добавьте их все. Команда ssh-add -l покажет список ключей, загруженных в агент. Для автоматического запуска агента при входе в систему можно добавить eval "$(ssh-agent -s)" в ваш файл ~/.bashrc или ~/.zshrc.

Неправильный файл конфигурации SSH (sshd_config)

Симптом: Аутентификация по ключу не работает для всех пользователей или для определенного пользователя, несмотря на правильные разрешения и наличие ключей. Проблема может быть глобальной.

Причина: Настройки SSH-сервера в файле /etc/ssh/sshd_config могут запрещать аутентификацию по ключу (PubkeyAuthentication no) или указывать неверный путь к файлу authorized_keys. По умолчанию AuthorizedKeysFile указывает на .ssh/authorized_keys относительно домашней директории пользователя. Изменения в этом файле требуют перезапуска службы SSH.

Решение: Подключитесь к серверу (например, через консоль) и проверьте файл /etc/ssh/sshd_config. Убедитесь, что следующие строки либо раскомментированы и установлены на yes, либо отсутствуют (тогда используются значения по умолчанию):

# /etc/ssh/sshd_config
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys

После любых изменений в sshd_config необходимо перезапустить службу SSH-сервера. На системах с systemd это делается так:

sudo systemctl restart sshd

Дополнительную информацию о параметрах конфигурации SSH-сервера можно найти в документации sshd_config.

Пошаговая диагностика и устранение

Эффективное устранение ошибки "Permission denied (publickey)" требует систематического подхода. Следующая последовательность шагов поможет вам локализовать и исправить проблему.

Проверка клиентской стороны:
- Подробный вывод SSH: Начните с подключения с флагом -v для получения отладочной информации. Чем больше флагов v (например, -vvv), тем более подробным будет вывод. Это поможет увидеть, какие ключи клиент пытается использовать и почему они могут быть отклонены.
```
ssh -v user@your_server_ip
```
  Ищите строки, содержащие "debug1: Authentications that can continue:", "debug1: Offering public key:", и особенно "debug1: Server accepts key:". Отсутствие этих сообщений или явный отказ сервера укажет направление.
- Разрешения на клиентские ключи: Убедитесь, что ваша директория ~/.ssh и приватный ключ имеют правильные разрешения.
```
ls -la ~/.ssh/
```
  Ожидаемые разрешения: drwx------ для .ssh, -rw------- для приватного ключа.
- SSH-агент: Проверьте, загружен ли ваш приватный ключ в SSH-агент.
```
ssh-add -l
```
  Если ключа нет, добавьте его: ssh-add ~/.ssh/id_rsa.
Проверка серверной стороны (требуется альтернативный доступ):
- Домашняя директория и .ssh: Подключитесь к серверу через веб-консоль или по паролю (если доступно) и проверьте разрешения домашней директории пользователя и папки .ssh.
```
ls -la ~
ls -la ~/.ssh/
```
  Ожидаемые разрешения: drwxr-xr-x или drwx------ для ~, drwx------ для .ssh.
- Файл authorized_keys: Проверьте разрешения и содержимое файла ~/.ssh/authorized_keys.
```
ls -la ~/.ssh/authorized_keys
cat ~/.ssh/authorized_keys
```
  Ожидаемые разрешения: -rw-------. Убедитесь, что публичный ключ вашего клиента присутствует в этом файле одной строкой без повреждений. Если вы используете VPS на Ubuntu 24.04, эти шаги особенно актуальны.
- Логи SSH-сервера: Изучите логи SSH-сервера, чтобы получить точную информацию об ошибке.
```
sudo journalctl -u sshd --since "1 hour ago" | grep "authentication failed"
# Или для старых систем
sudo tail -f /var/log/auth.log | grep sshd
```
  Логи часто содержат конкретные причины отказа, например, "Bad permissions" или "no matching key found".
Расширенная диагностика и специфические проблемы:
- Владельцы файлов: Убедитесь, что все файлы и директории в ~/.ssh/ принадлежат корневому пользователю и группе: chown -R user:user ~/.ssh.
- SELinux/AppArmor: Если на сервере включены системы принудительного контроля доступа, такие как SELinux или AppArmor, они могут блокировать доступ SSH-сервера к файлам ключей. Проверьте их статус и логи. Временно отключение (для SELinux: sudo setenforce 0) может помочь в диагностике, но не является постоянным решением.
- Брандмауэр: Убедитесь, что брандмауэр на сервере не блокирует порт SSH (по умолчанию 22). Команды типа sudo ufw status или sudo firewall-cmd --list-all помогут в этом.

Меры предосторожности и лучшие практики

Предотвращение ошибок "Permission denied (publickey)" и обеспечение безопасности SSH-доступа начинается с принятия правильных мер предосторожности и следования лучшим практикам. Эти рекомендации помогут вам поддерживать стабильное и защищенное соединение.

Всегда используйте аутентификацию по ключу: Отключайте парольную аутентификацию на сервере после настройки аутентификации по ключу. Это значительно снижает риск атак методом перебора паролей. В файле /etc/ssh/sshd_config установите PasswordAuthentication no и PermitRootLogin no, затем перезапустите службу SSH.
Используйте надежные парольные фразы: Защищайте ваши приватные ключи сильными парольными фразами. Это дополнительный уровень безопасности; даже если ваш приватный ключ будет скомпрометирован, злоумышленнику потребуется знать парольную фразу.
Регулярно проверяйте разрешения файлов: Периодически убеждайтесь, что разрешения на файлы ~/.ssh/ на клиенте и сервере соответствуют рекомендованным (700 для директорий, 600 для приватных ключей и authorized_keys, 644 для публичных ключей).
Применяйте ssh-copy-id: Эта утилита является наиболее безопасным и простым способом копирования публичных ключей на сервер, так как она автоматически устанавливает правильные разрешения.
Используйте SSH-агент: Запускайте SSH-агент и добавляйте в него свои ключи. Это не только удобно, но и безопасно, так как приватные ключи хранятся в памяти и не записываются на диск в расшифрованном виде.
Настройте sshd_config для повышения безопасности: Помимо отключения парольной аутентификации, рассмотрите возможность изменения стандартного порта SSH (по умолчанию 22) на другой, менее распространенный. Также настройте AllowUsers или AllowGroups для ограничения доступа к SSH только определенным пользователям или группам.
Используйте современные алгоритмы: Генерируйте ключи с использованием современных и стойких алгоритмов, таких как ED25519, если это поддерживается вашими системами. Например, ssh-keygen -t ed25519 -a 100.

Для эффективного управления множеством серверов и обеспечения бесперебойной работы приложений, особенно при самостоятельном хостинге, выбор надежного VPS-провайдера критичен. Такие провайдеры, как Valebyte, предлагают гибкие конфигурации и надежную инфраструктуру для ваших проектов. При выборе операционной системы для ваших VPS, таких как Debian или Ubuntu, важно учитывать специфику задач и личные предпочтения в администрировании. Если вы управляете сложными self-hosted проектами, например, Mattermost для команды, правильная настройка SSH и безопасности сервера становится ключевым фактором.

Частые вопросы

Почему SSH так строго относится к разрешениям файлов ключей?

SSH-клиент и сервер чрезвычайно чувствительны к правам доступа, чтобы предотвратить несанкционированный доступ к вашим приватным ключам и файлам аутентификации. Если разрешения слишком широкие, это означает, что другие пользователи системы потенциально могут прочитать или изменить эти критически важные файлы. Отказ в доступе в таких случаях является мерой безопасности.

Могу ли я использовать один и тот же SSH-ключ для доступа к нескольким серверам?

Да, вы можете использовать одну и ту же пару SSH-ключей (приватный/публичный) для доступа к нескольким серверам. Для этого вам нужно скопировать ваш публичный ключ в файл <code>~/.ssh/authorized_keys</code> на каждом из целевых серверов. Это упрощает управление доступом, поскольку вам не нужно генерировать новые ключи для каждого сервера.

Что делать, если у меня нет доступа к серверу по паролю или через консоль провайдера?

Если вы полностью потеряли доступ к серверу (ни по SSH с ключом, ни по паролю, ни через консоль), ситуация сложнее. Обычно в таких случаях требуется обращение в техническую поддержку вашего хостинг-провайдера. Они могут предоставить доступ через аварийную консоль или помочь с восстановлением доступа к вашей VPS, что часто включает сброс пароля или монтирование диска для редактирования файлов.

Как часто нужно менять SSH-ключи?

В отличие от паролей, SSH-ключи обычно не требуют частой смены, если они надежно защищены парольной фразой и приватный ключ не был скомпрометирован. Рекомендуется менять ключи при подозрении на компрометацию, увольнении сотрудника, имевшего доступ, или в соответствии с политикой безопасности вашей организации, например, раз в 1-2 года для критически важных систем.

В чем разница между ssh-add и ssh-copy-id?

<code>ssh-add</code> используется для добавления приватного ключа в SSH-агент на вашей локальной машине, чтобы вам не приходилось вводить парольную фразу при каждом использовании ключа. <code>ssh-copy-id</code>, напротив, является утилитой для удобного копирования вашего публичного ключа на удаленный сервер, добавляя его в файл <code>~/.ssh/authorized_keys</code> пользователя на этом сервере.

Mark Fielding

Linux systems administrator and infrastructure engineer specializing in server optimization, networking, and cloud deployments.

Mark has spent the last decade running Linux fleets — from a 6-node K3s home cluster to multi-region production deployments. He writes about VPS provisioning, networking, and the tools that keep servers boring.