LinuxSSH密钥登录设置方法

想要提升Linux服务器的安全性吗？本文将详细介绍如何设置SSH密钥登录，这是一种比传统密码认证更安全的方式。通过生成4096位RSA密钥对，并使用`ssh-copy-id`命令将公钥部署到服务器，然后配置`sshd_config`文件禁用密码认证并重启SSH服务，你就可以实现仅密钥登录，有效防御暴力破解和密码泄露风险。本文不仅提供详细的操作步骤，还深入探讨了SSH密钥登录的安全性优势、私钥的妥善保管方法，以及通过配置SSH守护进程来增强安全性的高级选项，帮助你打造一个坚固的SSH安全堡垒，让你的Linux服务器更加安全可靠。

设置SSH密钥登录可显著提升Linux服务器安全性，核心步骤包括：本地生成4096位RSA密钥对，使用ssh-copy-id将公钥部署至服务器，配置sshd_config禁用密码认证并重启SSH服务，最终实现仅密钥登录。

在Linux服务器上设置SSH密钥登录，是提升其安全性最直接且有效的方法之一。它通过用一对加密密钥（公钥和私钥）取代传统的密码进行身份验证，极大程度地规避了暴力破解攻击和密码泄露的风险，为服务器提供了一道更为坚固的防线。在我看来，这不仅仅是一种技术配置，更是一种对服务器安全负责任的态度。

解决方案

要实现SSH密钥登录，核心流程其实并不复杂，但每一步都值得我们细心操作。

首先，你需要在本地客户端生成一对SSH密钥。这通常通过 ssh-keygen 命令完成。我个人习惯使用RSA算法，并指定一个较高的密钥长度，比如4096位，因为这在当前看来是一个相当安全的标准。

ssh-keygen -t rsa -b 4096

执行这个命令后，系统会提示你选择保存密钥的路径（默认是 ~/.ssh/id_rsa）以及设置一个密码（passphrase）。强烈建议为你的私钥设置一个强密码，这相当于给你的私钥再加了一把锁，即使私钥文件本身被盗，没有这个密码也无法使用。

生成密钥后，你会得到两个文件：id_rsa（这是你的私钥，务必妥善保管，绝不能泄露）和 id_rsa.pub（这是你的公钥，可以安全地分享给需要登录的服务器）。

接下来，你需要将公钥复制到目标Linux服务器上。最便捷的方法是使用 ssh-copy-id 命令：

ssh-copy-id user@your_server_ip

这个命令会自动帮你把本地的公钥内容追加到服务器上指定用户的 ~/.ssh/authorized_keys 文件中，并自动设置好正确的权限。如果你因为某些原因无法使用 ssh-copy-id（比如服务器端口不是默认22，或者权限问题），也可以手动完成：

# 首先，确保服务器上用户家目录下有.ssh目录，且权限正确
ssh user@your_server_ip "mkdir -p ~/.ssh && chmod 700 ~/.ssh"

# 然后，将本地公钥内容追加到authorized_keys文件中
cat ~/.ssh/id_rsa.pub | ssh user@your_server_ip "cat >> ~/.ssh/authorized_keys"

# 最后，确保authorized_keys文件权限正确
ssh user@your_server_ip "chmod 600 ~/.ssh/authorized_keys"

公钥部署完成后，你就可以尝试使用密钥登录了：

ssh user@your_server_ip

如果一切顺利，你会被要求输入私钥的密码（如果你设置了的话），而不是服务器的登录密码。

最后，也是最关键的一步，是禁用服务器上的密码认证。编辑服务器上的SSH守护进程配置文件 /etc/ssh/sshd_config。找到并修改以下几行：

PasswordAuthentication no
PermitRootLogin prohibit-password
ChallengeResponseAuthentication no
UsePAM no

PermitRootLogin prohibit-password 意味着root用户可以通过密钥登录，但不能通过密码登录。如果希望完全禁止root用户直接SSH登录，可以设置为 no。

修改完成后，务必重启SSH服务，让配置生效。不同发行版命令可能略有不同：

# Debian/Ubuntu
sudo systemctl restart ssh

# CentOS/RHEL
sudo systemctl restart sshd

这样一来，你的服务器就只接受密钥登录，安全性得到了显著提升。

为什么SSH密钥登录比密码更安全？

在我看来，SSH密钥登录的安全性优势是压倒性的。这不仅仅是“感觉上更安全”，而是基于其底层加密原理和实际操作层面的考量。

首先，密码的本质是共享秘密，它的强度受限于人类的记忆力，以及我们对“好密码”的理解。一个密码，无论你设置得多复杂，总归是有限的字符组合，这意味着它理论上可以通过暴力破解、字典攻击或彩虹表等方式被尝试出来。尤其是在面对自动化攻击时，一个弱密码可能在几分钟内就被攻破。更别提钓鱼攻击、键盘记录器等手段，都能轻易获取你的密码。

而SSH密钥，特别是4096位的RSA密钥，其长度和复杂性是密码无法比拟的。它是一个极长的随机字符串对，公钥和私钥之间通过复杂的数学关系关联。破解一个4096位的密钥，即使是动用当今最强大的计算资源，也几乎是不可能完成的任务。它不依赖于人类的记忆，因此避免了人为因素带来的弱点。

其次，密钥登录采用的是非对称加密机制。公钥可以公开放在服务器上，私钥则始终保存在你的本地客户端。在认证过程中，私钥从未离开你的设备，这与密码认证中每次都需要将密码发送到服务器进行验证的模式截然不同。私钥不传输，就意味着它在传输过程中被截获的风险为零。即使服务器的公钥被窃取，攻击者也无法通过公钥反推出私钥，更无法利用公钥登录。这种设计从根本上杜绝了许多基于密码传输和存储弱点的攻击。

最后，密钥登录还带来了操作上的便捷性。一旦设置完成，登录时无需手动输入密码，这对于需要频繁登录多台服务器的管理员来说，效率提升是显而易见的。同时，它也为自动化脚本提供了更安全的认证方式，避免了将密码硬编码到脚本中的风险。

如何妥善保管你的SSH私钥？

私钥是SSH密钥登录体系中的“皇冠上的宝石”，它的安全直接决定了整个系统的安全。在我看来，对待私钥的态度，就如同对待你的银行卡密码一样，甚至更为谨慎。

最基础也最重要的一点，是为你的私钥设置一个强密码（passphrase）。我在生成密钥时就提到了这一点。这个密码相当于给你的私钥文件本身加了一道锁。这意味着，即使你的私钥文件不慎泄露，没有这个密码，攻击者也无法直接使用它。这是第一道也是最关键的一道防线。我建议这个密码要足够复杂，并且与你其他重要服务的密码不同。

其次，私钥文件的权限管理至关重要。你的私钥文件（通常是 ~/.ssh/id_rsa）的权限必须是 600（即只有文件所有者可以读写）。任何其他权限，比如 644 或 777，SSH客户端都会拒绝使用该私钥，并会给出警告。这是SSH协议内置的安全机制，确保私钥不会被其他用户意外读取。你可以通过 chmod 600 ~/.ssh/id_rsa 来设置。

然后，绝不要共享你的私钥。这听起来是常识，但在实际操作中，有时为了方便，人们会犯这种错误。私钥是你的身份凭证，就像你的身份证。如果多人需要访问同一台服务器，每个人都应该生成自己的密钥对，并将各自的公钥添加到服务器上。

为了方便日常使用，同时又不牺牲安全性，我强烈推荐使用 ssh-agent。ssh-agent 是一个在后台运行的程序，它会缓存你的解密后的私钥。当你第一次使用 ssh-add 命令将私钥添加到 ssh-agent 后，它会要求你输入一次私钥的密码。之后，只要 ssh-agent 还在运行，你就可以在当前会话中无需再次输入密码来使用该私钥进行SSH连接。这极大地提升了工作效率，同时又避免了私钥在磁盘上以明文形式存在，或者频繁输入密码的麻烦。

eval "$(ssh-agent -s)" # 启动ssh-agent
ssh-add ~/.ssh/id_rsa # 添加私钥，会提示输入密码

备份策略也是不容忽视的一环。私钥一旦丢失，你将无法登录依赖该私钥的服务器。因此，对私钥进行加密备份是必要的。你可以将其加密后存储在安全的云存储服务中，或者存储在加密的U盘、密码管理器里。记住，备份时也要确保是加密后的文件，并且备份的存储介质本身也应有足够的安全防护。

最后，也是最容易被忽视的一点：私钥所在的物理设备安全。如果你的电脑本身被攻破，那么即使私钥设置了密码，也可能面临风险。因此，保持操作系统和软件的最新状态，使用防火墙，安装防病毒软件，以及对电脑进行全盘加密等措施，都是保护私钥的间接但同样重要的手段。

配置SSH守护进程以增强安全性有哪些高级选项？

除了禁用密码认证和限制Root登录之外，SSH守护进程（sshd）还提供了许多高级配置选项，可以进一步强化服务器的安全性。这些配置都可以在 /etc/ssh/sshd_config 文件中进行调整。

一个常见且有效的做法是修改SSH默认端口。SSH默认使用22端口，这使得它成为各种自动化扫描和攻击的首要目标。将SSH端口修改为一个不常用的端口号（例如 Port 2222），虽然不能从根本上阻止有针对性的攻击，但可以显著减少服务器日志中那些无差别的、针对22端口的扫描尝试，降低噪音，也算是降低了被“顺手”攻击的概率。

Port 2222

限制特定用户或用户组登录也是一个非常实用的策略。如果你只希望少数几个特定用户能够通过SSH登录，可以使用 AllowUsers 或 AllowGroups 指令。例如，只允许 admin1 和 admin2 用户登录：

AllowUsers admin1 admin2

或者只允许 sshusers 组的用户登录：

AllowGroups sshusers

这能有效收窄攻击面，避免不必要的用户账户成为潜在的突破口。

禁用X11转发（X11Forwarding no）也是一个推荐的设置，除非你确实需要通过SSH连接来运行图形界面应用程序。X11转发本身可能引入额外的安全风险，如果不需要，直接禁用更为安全。

X11Forwarding no

设置登录失败次数限制（MaxAuthTries）可以帮助减缓暴力破解尝试。例如，将其设置为3，意味着用户在三次密码或密钥尝试失败后就会被断开连接。

MaxAuthTries 3

虽然我们已经禁用了密码认证，但为了确保万无一失，禁用空密码登录（PermitEmptyPasswords no）也是一个好习惯。

PermitEmptyPasswords no

更进一步，你可以考虑限制SSH协议的版本。目前SSHv2是推荐使用的版本，SSHv1存在已知的安全漏洞，应完全禁用。通常，现代的sshd默认只支持v2，但检查一下 Protocol 2 仍然是好的。

Protocol 2

对于更高级的用户，还可以限制可用的加密算法、消息认证码（MACs）和密钥交换算法（KexAlgorithms），只允许使用最强、最新的算法。这需要对密码学有一定了解，并且要确保客户端也支持这些算法，否则可能导致无法连接。例如，可以禁用一些老旧的弱算法，只保留AES256-GCM、chacha20-poly1305等。

Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr
MACs hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,umac-128-etm@openssh.com
KexAlgorithms curve25519-sha256@libssh.org,diffie-hellman-group-exchange-sha256

最后，我还要提一下 Fail2Ban。虽然它不是 sshd_config 的直接配置项，但它是一个非常强大的工具，可以与SSH守护进程协同工作，自动监控日志文件，并在检测到多次失败的登录尝试后，自动将恶意IP地址添加到防火墙黑名单中，从而有效抵御暴力破解攻击。部署Fail2Ban是提升服务器整体安全性的一个重要环节。

这些高级选项的配置，需要根据你的实际需求和安全策略来权衡。有些选项可能对兼容性有影响，所以在生产环境中应用前，务必在测试环境中充分验证。但总体而言，它们为构建一个更加坚固的SSH安全堡垒提供了丰富的工具。

好了，本文到此结束，带大家了解了《LinuxSSH密钥登录设置方法》，希望本文对你有所帮助！关注golang学习网公众号，给大家分享更多文章知识！