1. 为什么需要SSH免密登录每次连接远程服务器都要输入密码不仅麻烦还容易出错。想象一下你每天要登录服务器几十次每次都输密码简直是种折磨。更糟糕的是如果密码过于简单容易被破解过于复杂又记不住。SSH免密登录就像给你的服务器配了把专属钥匙既安全又方便。我在管理多台服务器时就深有体会。有次半夜服务器报警睡眼朦胧地输错三次密码导致账号被锁差点耽误重要业务。从那以后我就全面改用密钥登录再也不用担心输错密码的问题。实测下来这种方式不仅登录速度快安全性也比密码登录高好几个等级。2. Windows下生成SSH密钥对2.1 安装OpenSSH客户端Win10 1809及以上版本已经内置了OpenSSH客户端。按下WinR输入cmd打开命令提示符输入以下命令检查是否已安装ssh -V如果显示版本信息说明已安装。如果没有可以通过设置-应用-可选功能-添加功能安装OpenSSH客户端。对于老版本Windows建议安装Git for Windows它会自带完整的SSH工具链。我习惯用Git Bash来执行SSH相关操作因为它的命令行体验更接近Linux。2.2 生成密钥对在命令行执行以下命令ssh-keygen -t rsa -b 4096 -C your_emailexample.com这里有几个实用参数-t rsa指定密钥类型为RSA-b 4096设置密钥长度为4096位更安全-C添加注释通常用邮箱标识密钥所有者执行后会询问保存路径直接回车使用默认位置C:\Users\用户名.ssh\。接着会让你设置密钥密码passphrase这个不是必填项。但我强烈建议设置一个这样即使私钥泄露也不容易被滥用。生成完成后.ssh目录下会出现两个文件id_rsa私钥文件相当于你的家门钥匙id_rsa.pub公钥文件相当于钥匙孔3. 配置服务器公钥认证3.1 上传公钥到服务器首先要把id_rsa.pub的内容追加到服务器的~/.ssh/authorized_keys文件中。这里介绍三种常用方法方法一使用ssh-copy-id推荐如果你用的是Git Bash可以直接运行ssh-copy-id -i ~/.ssh/id_rsa.pub usernameserver_ip这个命令会自动处理目录创建和权限设置是最省事的方式。方法二手动复制粘贴打开id_rsa.pub文件复制全部内容。然后登录服务器执行mkdir -p ~/.ssh echo 粘贴的公钥内容 ~/.ssh/authorized_keys chmod 600 ~/.ssh/authorized_keys chmod 700 ~/.ssh方法三使用WinSCP上传用WinSCP连接到服务器找到/home/username/.ssh/目录如果没有就新建右键编辑authorized_keys文件不存在就新建把公钥内容粘贴进去保存。3.2 关键权限设置很多免密登录失败都是因为文件权限不对。服务器上的.ssh目录权限必须是700authorized_keys文件权限必须是600。可以用以下命令检查ls -ld ~/.ssh ls -l ~/.ssh/authorized_keys如果权限不对用chmod命令修正chmod 700 ~/.ssh chmod 600 ~/.ssh/authorized_keys4. Xshell配置密钥登录4.1 新建会话配置打开Xshell点击新建会话名称填写便于识别的名称如生产环境Web服务器协议选择SSH主机填写服务器IP或域名端口默认22如果修改过则填写实际端口4.2 配置密钥认证点击左侧用户身份验证方法选择Public Key用户名填写登录用户名用户密钥点击浏览按钮选择导入找到之前生成的id_rsa文件不是.pub文件输入创建密钥时设置的passphrase如果设置了4.3 高级设置技巧在连接-SSH下有个实用选项勾选连接成功后自动执行命令可以设置登录后自动执行的命令比如cd /var/www clear这样每次登录后自动进入项目目录并清屏。5. WinSCP配置密钥登录5.1 转换密钥格式WinSCP需要使用PPK格式的密钥需要用PuTTYgen工具转换打开PuTTYgen安装PuTTY时会自带点击Load选择之前生成的id_rsa文件点击Save private key保存为.ppk文件建议设置Key passphrase增加安全性5.2 配置会话打开WinSCP新建站点文件协议选SCP比SFTP更快主机名服务器IP用户名登录用户名密码留空因为用密钥登录点击高级-SSH-认证在私钥文件选择刚才生成的.ppk文件5.3 实用功能设置在选项-首选项中建议开启保持活动间隔300秒防止连接超时断开后台传输允许上传大文件时不阻塞界面比较目录按内容同步文件时更准确6. 常见问题排查6.1 连接被拒绝如果出现Permission denied (publickey)错误按以下步骤检查服务器sshd_config配置是否正确PubkeyAuthentication yes AuthorizedKeysFile .ssh/authorized_keys用ssh -v usernameserver_ip查看详细日志检查服务器磁盘空间是否已满df -h查看/var/log/auth.log日志文件Ubuntu系统6.2 密钥不生效可能原因authorized_keys文件权限不对必须是600.ssh目录权限不对必须是700文件所有者不对用chown修正SELinux限制执行restorecon -Rv ~/.ssh6.3 多密钥管理技巧当需要管理多台服务器时建议为不同服务器生成不同密钥对ssh-keygen -f ~/.ssh/id_rsa_server1在~/.ssh/config文件中配置别名Host server1 HostName 192.168.1.100 User root IdentityFile ~/.ssh/id_rsa_server1这样只需ssh server1就能连接不用记IP和用户名。7. 安全加固建议7.1 禁用密码登录配置密钥登录成功后建议禁用密码登录以提高安全性。编辑/etc/ssh/sshd_configPasswordAuthentication no ChallengeResponseAuthentication no然后重启sshd服务systemctl restart sshd7.2 使用强密码保护密钥生成密钥时一定要设置passphrase建议使用12位以上的随机密码。可以用以下命令修改现有密钥的passphrasessh-keygen -p -f ~/.ssh/id_rsa7.3 定期轮换密钥建议每3-6个月更换一次密钥生成新密钥对将新公钥追加到authorized_keys测试新密钥登录正常从authorized_keys中删除旧公钥删除本地旧私钥8. 高级应用场景8.1 跳板机配置在企业环境中通常需要通过跳板机连接内网服务器。可以在~/.ssh/config中配置代理跳转Host bastion HostName jump.example.com User yourname IdentityFile ~/.ssh/id_rsa_bastion Host internal-server HostName 10.0.0.100 User root IdentityFile ~/.ssh/id_rsa_internal ProxyJump bastion这样ssh internal-server会自动通过跳板机连接。8.2 自动化脚本部署在CI/CD流程中可以用以下方式实现免交互登录#!/bin/bash eval $(ssh-agent -s) echo $SSH_PRIVATE_KEY | ssh-add - ssh -o StrictHostKeyCheckingno userhost deploy_script.sh其中SSH_PRIVATE_KEY是存储在CI变量中的私钥内容。8.3 多因素认证增强结合Google Authenticator实现双因素认证服务器安装插件sudo apt install libpam-google-authenticator编辑/etc/pam.d/sshdauth required pam_google_authenticator.so编辑sshd_configChallengeResponseAuthentication yes AuthenticationMethods publickey,keyboard-interactive
SSH免密登录实战:从公钥生成到服务器配置全流程
1. 为什么需要SSH免密登录每次连接远程服务器都要输入密码不仅麻烦还容易出错。想象一下你每天要登录服务器几十次每次都输密码简直是种折磨。更糟糕的是如果密码过于简单容易被破解过于复杂又记不住。SSH免密登录就像给你的服务器配了把专属钥匙既安全又方便。我在管理多台服务器时就深有体会。有次半夜服务器报警睡眼朦胧地输错三次密码导致账号被锁差点耽误重要业务。从那以后我就全面改用密钥登录再也不用担心输错密码的问题。实测下来这种方式不仅登录速度快安全性也比密码登录高好几个等级。2. Windows下生成SSH密钥对2.1 安装OpenSSH客户端Win10 1809及以上版本已经内置了OpenSSH客户端。按下WinR输入cmd打开命令提示符输入以下命令检查是否已安装ssh -V如果显示版本信息说明已安装。如果没有可以通过设置-应用-可选功能-添加功能安装OpenSSH客户端。对于老版本Windows建议安装Git for Windows它会自带完整的SSH工具链。我习惯用Git Bash来执行SSH相关操作因为它的命令行体验更接近Linux。2.2 生成密钥对在命令行执行以下命令ssh-keygen -t rsa -b 4096 -C your_emailexample.com这里有几个实用参数-t rsa指定密钥类型为RSA-b 4096设置密钥长度为4096位更安全-C添加注释通常用邮箱标识密钥所有者执行后会询问保存路径直接回车使用默认位置C:\Users\用户名.ssh\。接着会让你设置密钥密码passphrase这个不是必填项。但我强烈建议设置一个这样即使私钥泄露也不容易被滥用。生成完成后.ssh目录下会出现两个文件id_rsa私钥文件相当于你的家门钥匙id_rsa.pub公钥文件相当于钥匙孔3. 配置服务器公钥认证3.1 上传公钥到服务器首先要把id_rsa.pub的内容追加到服务器的~/.ssh/authorized_keys文件中。这里介绍三种常用方法方法一使用ssh-copy-id推荐如果你用的是Git Bash可以直接运行ssh-copy-id -i ~/.ssh/id_rsa.pub usernameserver_ip这个命令会自动处理目录创建和权限设置是最省事的方式。方法二手动复制粘贴打开id_rsa.pub文件复制全部内容。然后登录服务器执行mkdir -p ~/.ssh echo 粘贴的公钥内容 ~/.ssh/authorized_keys chmod 600 ~/.ssh/authorized_keys chmod 700 ~/.ssh方法三使用WinSCP上传用WinSCP连接到服务器找到/home/username/.ssh/目录如果没有就新建右键编辑authorized_keys文件不存在就新建把公钥内容粘贴进去保存。3.2 关键权限设置很多免密登录失败都是因为文件权限不对。服务器上的.ssh目录权限必须是700authorized_keys文件权限必须是600。可以用以下命令检查ls -ld ~/.ssh ls -l ~/.ssh/authorized_keys如果权限不对用chmod命令修正chmod 700 ~/.ssh chmod 600 ~/.ssh/authorized_keys4. Xshell配置密钥登录4.1 新建会话配置打开Xshell点击新建会话名称填写便于识别的名称如生产环境Web服务器协议选择SSH主机填写服务器IP或域名端口默认22如果修改过则填写实际端口4.2 配置密钥认证点击左侧用户身份验证方法选择Public Key用户名填写登录用户名用户密钥点击浏览按钮选择导入找到之前生成的id_rsa文件不是.pub文件输入创建密钥时设置的passphrase如果设置了4.3 高级设置技巧在连接-SSH下有个实用选项勾选连接成功后自动执行命令可以设置登录后自动执行的命令比如cd /var/www clear这样每次登录后自动进入项目目录并清屏。5. WinSCP配置密钥登录5.1 转换密钥格式WinSCP需要使用PPK格式的密钥需要用PuTTYgen工具转换打开PuTTYgen安装PuTTY时会自带点击Load选择之前生成的id_rsa文件点击Save private key保存为.ppk文件建议设置Key passphrase增加安全性5.2 配置会话打开WinSCP新建站点文件协议选SCP比SFTP更快主机名服务器IP用户名登录用户名密码留空因为用密钥登录点击高级-SSH-认证在私钥文件选择刚才生成的.ppk文件5.3 实用功能设置在选项-首选项中建议开启保持活动间隔300秒防止连接超时断开后台传输允许上传大文件时不阻塞界面比较目录按内容同步文件时更准确6. 常见问题排查6.1 连接被拒绝如果出现Permission denied (publickey)错误按以下步骤检查服务器sshd_config配置是否正确PubkeyAuthentication yes AuthorizedKeysFile .ssh/authorized_keys用ssh -v usernameserver_ip查看详细日志检查服务器磁盘空间是否已满df -h查看/var/log/auth.log日志文件Ubuntu系统6.2 密钥不生效可能原因authorized_keys文件权限不对必须是600.ssh目录权限不对必须是700文件所有者不对用chown修正SELinux限制执行restorecon -Rv ~/.ssh6.3 多密钥管理技巧当需要管理多台服务器时建议为不同服务器生成不同密钥对ssh-keygen -f ~/.ssh/id_rsa_server1在~/.ssh/config文件中配置别名Host server1 HostName 192.168.1.100 User root IdentityFile ~/.ssh/id_rsa_server1这样只需ssh server1就能连接不用记IP和用户名。7. 安全加固建议7.1 禁用密码登录配置密钥登录成功后建议禁用密码登录以提高安全性。编辑/etc/ssh/sshd_configPasswordAuthentication no ChallengeResponseAuthentication no然后重启sshd服务systemctl restart sshd7.2 使用强密码保护密钥生成密钥时一定要设置passphrase建议使用12位以上的随机密码。可以用以下命令修改现有密钥的passphrasessh-keygen -p -f ~/.ssh/id_rsa7.3 定期轮换密钥建议每3-6个月更换一次密钥生成新密钥对将新公钥追加到authorized_keys测试新密钥登录正常从authorized_keys中删除旧公钥删除本地旧私钥8. 高级应用场景8.1 跳板机配置在企业环境中通常需要通过跳板机连接内网服务器。可以在~/.ssh/config中配置代理跳转Host bastion HostName jump.example.com User yourname IdentityFile ~/.ssh/id_rsa_bastion Host internal-server HostName 10.0.0.100 User root IdentityFile ~/.ssh/id_rsa_internal ProxyJump bastion这样ssh internal-server会自动通过跳板机连接。8.2 自动化脚本部署在CI/CD流程中可以用以下方式实现免交互登录#!/bin/bash eval $(ssh-agent -s) echo $SSH_PRIVATE_KEY | ssh-add - ssh -o StrictHostKeyCheckingno userhost deploy_script.sh其中SSH_PRIVATE_KEY是存储在CI变量中的私钥内容。8.3 多因素认证增强结合Google Authenticator实现双因素认证服务器安装插件sudo apt install libpam-google-authenticator编辑/etc/pam.d/sshdauth required pam_google_authenticator.so编辑sshd_configChallengeResponseAuthentication yes AuthenticationMethods publickey,keyboard-interactive
