LinuxSSH免密登录设置方法

本文深入解析了Linux中SSH免密登录常见失败的根本原因与实战对策，直击权限链陷阱——家目录不能宽松（如777/775）、~/.ssh必须严格设为700、authorized_keys路径中任一父目录属主不符即被拒绝；同时纠正常见误区，强调ssh-copy-id优于手动追加、推荐使用Ed25519或RSA-4096密钥替代过时的默认RSA-2048，并详解配置验证、跨用户部署及日志排查等关键细节，助你避开“改了却登不上”的典型坑，真正实现稳定、安全、可复现的免密登录。

能直接用 ssh-copy-id 就别手动生成再手动追加，否则大概率因权限或路径问题失败。

为什么 ssh-copy-id 失败后不能直接改 authorized_keys 权限硬上

常见现象是执行 ssh-copy-id user@host 报错 “Permission denied (publickey)”，然后用户手动 cat id_rsa.pub >> ~/.ssh/authorized_keys，再 chmod 600 authorized_keys —— 这样仍可能登录失败。

根本原因不是文件权限不对，而是：
- ~/.ssh 目录权限必须是 700（即 drwx------），755 或更宽松都会被 sshd 拒绝读取
- ~（用户家目录）本身不能是 777 或 775，否则 sshd 认为不安全，直接跳过密钥认证
- authorized_keys 所在路径中任意一级父目录若属主不是当前用户（比如 /home/weisheng 属主是 root），也会被拒绝

实操建议：
- 先确认家目录归属：ls -ld ~，应显示 drwxr-xr-x user user 类似结构
- 再确认 .ssh 目录：ls -ld ~/.ssh，必须是 drwx------
- 最后检查 authorized_keys：ls -l ~/.ssh/authorized_keys，应为 -rw-------

ssh-keygen -t rsa 的参数和默认行为要清楚

很多人以为 ssh-keygen -t rsa 就够了，但实际它默认生成的是 2048 位 RSA 密钥 —— 现代 OpenSSH（8.8+）已默认禁用 ssh-rsa 签名算法，会导致新系统无法认证。

所以推荐明确指定更强、兼容性更好的算法：
- 生成 Ed25519 密钥（推荐，速度快、安全性高）：ssh-keygen -t ed25519 -C "your_email@example.com"
- 若需兼容老旧设备，用 RSA 4096：ssh-keygen -t rsa -b 4096 -C "your_email@example.com"
- 不要省略 -C，它写入的注释会在 authorized_keys 中体现，便于识别来源

注意：
- 私钥文件名默认是 id_rsa 或 id_ed25519，如果改名（如 mykey），后续必须用 -i mykey 显式指定，否则 ssh 不会自动加载
- 不设密码（空 passphrase）才能真正实现“免密”，设了密码只是把输密码环节从远程服务器移到本地私钥解锁

修改 /etc/ssh/sshd_config 前先验证当前配置是否生效

很多人一上来就改 PasswordAuthentication no，结果连自己都登不进去了。这不是配置问题，而是没确认当前连接是否真的走的是密钥认证。

验证方法：
- 登录后立刻执行：echo $SSH_CONNECTION，确认是你发起的连接
- 查看本次登录方式：grep "Accepted" /var/log/auth.log | tail -1（Debian/Ubuntu）或 journalctl _COMM=sshd | grep "Accepted"（RHEL/CentOS）
- 正常密钥登录日志里会有 publickey 字样；如果看到 password，说明你还在走密码流程，此时禁用密码等于锁死自己

关键配置项及注意事项：
- PubkeyAuthentication yes：必须开启，这是密钥登录开关
- AuthorizedKeysFile .ssh/authorized_keys：确保路径没被改掉，有些环境会改成 .ssh/authorized_keys2 等
- StrictModes yes：保持开启，它强制校验家目录和 .ssh 权限，关了反而埋坑
- 改完不要只用 service ssh restart，某些 systemd 系统需用 systemctl restart sshd，且重启前建议开一个备用 root 会话

跨用户免密登录时 ssh-copy-id 默认作用于当前用户

假设你是 root，想让 appuser 能免密登录另一台机器，直接运行 ssh-copy-id appuser@host 是无效的 —— 它只会把 root 的公钥拷过去，目标机上 appuser 的 ~/.ssh/authorized_keys 并没变。

正确做法：
- 切换到目标用户：su - appuser（注意带 - 加载完整环境）
- 在该用户上下文中生成密钥：ssh-keygen -t ed25519
- 再执行：ssh-copy-id appuser@host
- 或者不切用户，手动指定密钥：ssh-copy-id -i ~/.ssh/id_ed25519.pub appuser@host

容易忽略的点：
- ssh-copy-id 默认使用当前用户身份登录目标主机，所以如果 appuser 在目标机上没有密码或密码未知，就得先用其他方式（如 root）把公钥内容手动写入 /home/appuser/.ssh/authorized_keys
- 每个用户必须独立配置，不存在“全局免密”；root 配好了，普通用户照样要输密码

最麻烦的永远不是生成密钥，而是目录权限链上的任意一环出问题 —— 家目录、.ssh、authorized_keys、甚至父分区挂载选项（如 noexec 或 nosuid）都可能干扰。每次失败，优先查 sshd -T | grep -E "(pubkey|strict|auth)" 和 tail -f /var/log/auth.log 实时日志，比盲目 chmod 更快定位。

文中关于的知识介绍，希望对你的学习有所帮助！若是受益匪浅，那就动动鼠标收藏这篇《LinuxSSH免密登录设置方法》文章吧，也可关注golang学习网公众号了解相关技术文章。