1067:SSH 服务启动失败(System error 1067)

已于 2025-08-25 15:22:27 修改
阅读量578 收藏 30
点赞数 26
CC 4.0 BY-SA版权
分类专栏: TSINGSHAN-1125073089 文章标签: ssh 运维
于 2025-08-20 13:49:33 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45806267/article/details/150552280

一、错误发生的主要原因

你遇到的 SSH 服务启动失败(System error 1067),经过分析,核心原因是 权限不符合 Windows OpenSSH 的安全要求

  1. authorized_keys 权限

    • 文件最初新建后,可能设置了 过宽权限(完全控制 F)

    • OpenSSH 要求:

      • 只能由用户本人(Administrator)和 SYSTEM 读取

      • 不能有其他用户或组(如 Administrators 或 Authenticated Users)的访问

    • 权限过宽会导致公钥认证加载失败

  2. host key 权限(主机密钥)

    • 日志显示:

      WARNING: UNPROTECTED PRIVATE KEY FILE!
Permissions for '__PROGRAMDATA__\ssh/ssh_host_rsa_key' are too open

    • 原因:ssh_host_*_key 文件权限过宽(例如 Authenticated Users:(RX))

    • OpenSSH 强制要求主机私钥 仅允许 SYSTEM 和拥有者(Administrators)访问

    • 没有 host key,SSH 服务无法启动 → 1067 错误

  3. sshd_config 指向不存在或权限不对的文件

    • 虽然最后你的配置已经没问题,但初期如果 AuthorizedKeysFile 指向错误路径也可能引起启动失败

二、完整修复流程整理

1️⃣ 修复 authorized_keys 权限

# 取消继承,设置严格只读权限
icacls "C:\Users\Administrator\.ssh\authorized_keys" /inheritance:r /grant:r "Administrator:R" /grant:r "SYSTEM:R"

✅ 解释:

  • 文件仅允许 Administrator 和 SYSTEM 读取

  • 严格遵守 OpenSSH 的安全要求

2️⃣ 修复 .ssh 目录权限

# 取消继承,设置目录权限
icacls "C:\Users\Administrator\.ssh" /inheritance:r /grant:r "Administrator:F" /grant:r "SYSTEM:F"

✅ 解释:

  • 目录本身可以完全控制(F),允许 SSHD 访问文件

  • 但是文件权限必须严格受控

3️⃣ 修复 host key 权限(核心步骤)

进入 host key 所在目录:cd C:\ProgramData\ssh

检查当前权限:icacls ssh_host_*

修复主机私钥权限,只允许 Administrator 和 SYSTEM 完全控制:

icacls ssh_host_rsa_key /inheritance:r /grant:r "Administrators:F" /grant:r "SYSTEM:F"
icacls ssh_host_ecdsa_key /inheritance:r /grant:r "Administrators:F" /grant:r "SYSTEM:F"
icacls ssh_host_ed25519_key /inheritance:r /grant:r "Administrators:F" /grant:r "SYSTEM:F"
icacls ssh_host_dsa_key /inheritance:r /grant:r "Administrators:F" /grant:r "SYSTEM:F"

✅ 解释:

  • 删除其他用户组权限(如 Authenticated Users)

  • 满足 OpenSSH 启动安全策略

4️⃣ 调试启动 SSH 服务

cd "C:\Windows\System32\OpenSSH"
.\sshd.exe -d

  • -d 打印详细日志

  • 确认 host key 加载成功

  • 确认监听端口 22 成功

调试成功后,正式启动服务:net start sshd

  • 输出显示服务已运行

  • Get-Service sshd 状态为 Running

  • netstat -ano | findstr :22 显示端口 22 正在监听

5️⃣ 本地测试 SSH 连接

ssh Administrator@localhost

  • 首次连接输入 yes 接受主机指纹

  • 输入 Administrator 密码或使用公钥认证登录成功

✅ 说明服务完全恢复正常

三、总结经验教训

  1. Windows OpenSSH 对 文件权限非常严格

    • .ssh 目录:Administrator:F + SYSTEM:F ✅

    • authorized_keys:Administrator:R + SYSTEM:R ✅

    • ssh_host_*_key:Administrator:F + SYSTEM:F ✅,其他用户或组不可访问

  2. 主机密钥权限过宽是 1067 启动错误的主要原因

  3. 使用调试模式 .\sshd.exe -d 可以快速定位启动问题

  4. 该操作 不会影响其他数据库服务器的备份,因为只修改了本机 SSH 服务配置

最后、放心,你这套操作 不会影响其他数据库服务器的备份。

原因如下:

  1. 操作范围有限

  • 你修改的只是 Windows 自己的 SSH 服务和相关密钥文件,主要目录是:

    • C:\Users\Administrator\.ssh

    • C:\ProgramData\ssh

  • 这些修改只影响本机的 SSH 服务,不会去动其他服务器或备份数据。

  1. 没有修改备份脚本或备份目标

  • 你的 Oracle/SQL Server/MariaDB 等数据库备份是通过其他机制(RMAN、脚本、服务账户等)运行的

  • SSH 配置只会影响远程登录,不改变备份路径、备份账号或文件内容

  1. 风险点几乎为零

  • 如果备份脚本本身使用 SSH 连接到本机做某些操作(例如将备份推送回来),理论上只要 SSH 启动失败或权限不对,才会影响

  • 而现在 SSH 服务已经 正常启动并可连接,所以不存在负面影响

✅ 总结:

  • 你的 SSH 修复操作是安全的

  • 不会影响数据库备份、异地备份或原有服务

  • 唯一作用是保证你可以安全使用本机 SSH 和公钥认证

博客
解决ORA-01950: no privileges on tablespace ‘SYSTEM‘【创建并且授权表空间+迁移表、LOB、索引到新表空间】
08-27 1
本文针对Oracle数据库用户遇到"ORA-01950: no privileges on tablespace 'SYSTEM'"错误提供了完整解决方案。首先分析了错误原因:用户默认表空间设为SYSTEM且无配额权限。随后详细介绍了解决步骤:创建专用表空间QMS_TBS并授权用户使用,包括设置数据文件、临时表空间和权限分配。重点说明了迁移顺序:先表后索引,特别强调LOB段的迁移方法。最后提供了验证脚本确保迁移彻底完成,并建议收集统计信息优化性能。整套方案既解决了当前权限问题,又规范了存
博客
DBeaver下载安装使用
08-26 11
DBeaver是一款免费跨平台数据库工具,支持MySQL、PostgreSQL等主流SQL数据库,适合开发者和数据分析师使用。用户可从官网下载安装,支持多种数据库连接和操作。
博客
超市收银系统SQL Server数据库异地备份缺失检查处理+rodocopy优化脚本+配置任务计划程序(定时自动执行)+验证脚本
08-25 280
摘要:针对超市收银系统SQLServer2008R2异地备份失败问题进行分析,发现SMB协议访问共享目录时未通过身份验证是根本原因。排查过程包括检查本地备份文件、网络连通性测试、手动传输验证及计划任务配置检查。最终解决方案采用Robocopy工具并配置网络凭据,优化后的脚本实现自动身份验证和可靠传输。对比SMB、FTP、SFTP等协议特性,建议内网使用SMB共享,外网采用SFTP安全传输。通过配置计划任务实现定时自动备份,确保备份文件可靠传输至异地服务器。
博客
【离线安装】CentOS Linux 7 上离线部署Oracle 19c(已成功安装2次)
08-21 1014
本文详细介绍了在CentOS7系统上通过rpm方式离线安装Oracle19c数据库的完整步骤。主要内容包括:上传安装包和依赖库到指定目录、临时禁用SELinux、安装所有依赖包和Oracle19c企业版RPM包、配置数据库初始化脚本、设置环境变量、修改sys用户密码以及配置防火墙开放1521端口等关键操作。安装过程中特别强调了需要注意的事项,如主机名解析、监听器配置、密码设置规范等。最后还提供了远程连接验证的方法,确保数据库服务正常启动并可通过网络访问。
博客
Oracle ODA(Oracle Database Appliance,甲骨文数据库一体机)
08-20 244
Oracle的RAC和ODA都提供高可用数据库方案,但实现方式不同:RAC是软件架构,需自行搭建服务器集群;ODA则是预装好的软硬一体机,开箱即用。RAC适合技术能力强的大型企业,可灵活定制;ODA更适合追求简便部署的中大型企业,内置RAC等功能但免去复杂配置。两者关系如同自建别墅与精装房,前者灵活后者省心。ODA最新X10系列已预置RAC架构,大幅降低使用门槛。
博客
什么是Oracle RAC?(Real Application Clusters,真正应用集群)
08-20 294
Oracle RAC 通俗解释:将数据库比作饭馆,单实例如同单厨饭馆,易因顾客增多而宕机;RAC则像多厨共享的大厨房,各实例(厨师)独立工作但共享存储(食材),实现高可用性(厨师倒下不影响营业)、可扩展性(可增厨扩容)和负载均衡(任务分摊)。需注意RAC需企业版及额外组件,搭建复杂。
博客
Linux 定时任务 + Oracle 19c 备份完整操作手册(Linux→windows server)
08-19 933
帮你整理一个新手友好、一步步照着做就能跑通的 Linux 定时任务完整操作手册,覆盖从任务种类 → 脚本上传 → 环境变量 → 测试 → 配置 cron → 日志查看 → 自动清理的整个流程。
博客
Oracle维护指南
08-18 333
本文全面介绍了Oracle数据库的核心技术与管理实践,涵盖架构、配置、性能优化、故障诊断和安全审计等关键主题。主要内容包括:Oracle版本演进与特性对比,单机与RAC架构差异;数据库实例、存储结构和内存管理;日志文件类型与作用;备份恢复策略与RMAN工具使用;性能调优方法与监控指标;常见错误诊断;以及数据库安全机制与审计功能。特别强调了RAC环境的特殊配置要求,并提供了详细的SQL命令示例和最佳实践建议。通过系统化的知识梳理,帮助DBA掌握Oracle数据库全生命周期的管理技能,确保系统的高可用性和数据安
博客
CentOS Linux 7 (Core)上部署Oracle 11g、19C RAC详细图文教程
08-18 178
实战篇:一步步教你 Linux 7 安装 Oracle 11GR2 RAC。实战篇:Linux7 安装 Oracle 19C RAC 详细图文教程。墨天轮数据库社区 - 乐知乐享,同心共济。
博客
Windows Server 2016 Datacenter 计划任务创建操作指南
08-18 33
本文介绍了Windows服务器上创建和删除计划任务的方法。创建任务时需通过任务计划程序(mstsc)新建任务,配置常规信息、触发器时间、执行脚本路径等参数,并设置失败重试等选项,最后测试运行。删除任务可在任务计划程序库中找到对应任务直接删除或先禁用。文章详细说明了Oracle数据库备份任务的具体配置步骤,包括权限设置、执行时间安排和脚本路径指定等关键操作要点。
博客
什么是 Linux?什么是 Shell?什么是 Bash?Linux、Shell、Bash 的关系?
08-18 402
本文用通俗易懂的方式,解释了 Linux、Shell、Bash 三者的概念与关系:Linux 是操作系统内核,是计算机的“大脑和管家”;Shell 是命令解释器,相当于人与 Linux 沟通的“方向盘”;Bash 是最流行的 Shell 实现,几乎所有 Linux 系统都在用。同时,文章也回答了“Shell 是否是一种编程语言”这个常见问题:是的,Shell 脚本可以算作编程语言,但它主要用于自动化任务和系统管理,而不是像 Python/Java 那样做应用开发。
博客
【服务器联网状态下】CentOS 7 一键部署 上Maria Database(MariaDB)10.3.38 安装手册(避开前面安装的Oracle 19c路径)
08-16 886
摘要:MariaDB是MySQL的分支数据库系统,由MySQL创始人Monty开发,以保持开源自由。本指南详细介绍了在已安装Oracle 19c的CentOS 7服务器上安全部署MariaDB 10.3.38的步骤。主要内容包括:1)检查系统版本和网络连通性;2)创建独立于Oracle的MariaDB数据/日志目录;3)提供自动化安装脚本及执行方法;4)配置远程访问和管理账户;5)验证安装和数据库操作。重点强调要避免与Oracle路径冲突,确保数据隔离安全。最后提供了Navicat连接信息和常见问题解决方案
博客
【联网安装】Linux CentOS 7 操作系统上安装 Oracle 19c(RPM 方式部署)+客户端通过PL/SQL Developer和Navicat Premium远程连接管理该数据库。
08-15 982
Linux CentOS 7 操作系统上安装 Oracle 19c(RPM 方式部署)+客户端通过PL/SQL Developer和Navicat Premium远程连接管理该数据库。
博客
Sql Server数据库部署(windows操作系统环境下图形化方式安装,文章最后有cdkey)
08-15 181
本文详细介绍了SQL Server的安装步骤。首先下载安装包并解压,以管理员身份运行setup。安装前需确保系统已安装.NET Framework 3.5。安装过程中需选择全新安装,接受许可协议,进行功能选择(建议新手全选),并设置实例路径。重要步骤包括:配置混合模式认证、设置sa账户密码、添加当前用户。安装完成后需记录配置文件路径,最后通过SSMS使用设置的sa账户和密码登录验证。文中还提供了解决"INSTALLSHAREDWOWDIR命令行值无效"错误的方法。整个安装过程包含23个步
博客
【实用】SQLserver数据恢复操作手册(恢复+配置navicat远程连接)
08-14 868
SQLserver数据恢复操作手册(恢复+配置navicat远程连接)
博客
PLSQL Developer 16 (64 bit)设置中文
08-04 464
博客
三大数据库【字符串连接】与【数据类型转换】对比:Oracle vs MySQL vs SQL Server
05-26 465
字符串连接+数据类型转换——20250526
博客
SQL Server 中的 GO 及其与其他数据库的对比
05-07 596
SQL Server 使用 GO 来分隔批次,帮助执行多个 SQL 语句。Oracle 和 MySQL 通过分号(;)分隔语句,不需要 GO。
博客
SQL 中的中括号 [ ]、双引号 “ “、反引号 ` `:SQL Server、Oracle、MySQL三大数据库标识符 定界符 详解
05-07 981
SQL Server、Oracle 与 MySQL 标识符差异揭秘:你不可忽视的语法细节
博客
Oracle、MySQL、SQL Server查询结果能否直接修改?全面解析
04-26 676
• Oracle 可以在查询时加上 ROWID,直接修改查询出来的数据。• MySQL 和 SQL Server 不支持直接编辑查询结果,只能通过编辑界面或写 UPDATE 语句修改。• 一句话记忆:Oracle 加 ROWID 可以改,MySQL 和 SQL Server 要 UPDATE。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值