LinuxSSH密钥登录安全设置详解

本文深入剖析了Linux系统中安全禁用SSH密码登录、全面启用密钥认证的关键实操要点，强调“密钥登录必须100%稳定生效后才能禁密码”，否则极易导致永久性锁死；内容覆盖从权限校验、配置项精准设置（尤其必须同步关闭PasswordAuthentication、ChallengeResponseAuthentication和UsePAM）、逃生会话保留、重启验证到持续防退化的全生命周期管理，并直击常见陷阱——如PAM模块绕过、宽松权限被OpenSSH忽略、自动化工具配置残留等，为运维人员提供一份兼具严谨性与实战可靠性的安全加固指南。

禁用密码登录必须在密钥登录已稳定可用的前提下操作，否则会直接锁死自己——这不是警告，是实操铁律。

确认密钥登录已真正生效

很多人以为 ssh-copy-id 执行完就万事大吉，其实常有权限、路径或配置遗漏导致“看似能登，实则 fallback 到密码”。

• 新开终端测试：不加任何选项执行 ssh user@host，全程无密码提示且秒进才算成功
• 强制跳过密钥验证测试是否真被拒绝：ssh -o PubkeyAuthentication=no user@host，应立刻报错 No supported authentication methods available
• 检查服务器端 ~/.ssh/authorized_keys 权限是否为 600，~/.ssh 目录是否为 700；权限宽松（如 755）会导致 OpenSSH 忽略该文件
• 确认客户端私钥未加密（即没设 passphrase），否则每次连接仍要输密码，容易误判为“密码登录还在工作”

修改 sshd_config 的关键三行

只改 PasswordAuthentication no 不够，OpenSSH 会因其它认证方式残留而绕过限制。

• 必须同时关闭：PasswordAuthentication no、ChallengeResponseAuthentication no、UsePAM no（若系统未专门配置 PAM 密码策略，开启它反而可能让密码登录复活）
• 显式启用密钥认证：PubkeyAuthentication yes（有些旧系统默认关着，不能只靠注释掉）
• 禁用空密码：PermitEmptyPasswords no（防止某用户密码为空时被利用）
• 改完立即执行 sudo sshd -t，无输出才表示语法合法；有报错别重启，先修配置

重启前保留一个“逃生会话”

这是最容易被跳过的一步，但一旦失败，你只能靠控制台或云平台 VNC 登录修复。

• 不要在当前 SSH 会话里执行 systemctl restart sshd；保持它不动，另开一个已验证成功的密钥连接用于重启和回滚
• 重启后立刻在新会话中测试：ssh user@host（应仍免密）和 ssh -o PubkeyAuthentication=no user@host（应被拒）
• 如果连不上，立刻回到原会话，检查 journalctl -u sshd -n 50 --no-pager 看错误原因，常见的是 sshd_config 某行写错或权限不对
• 云服务器还要同步检查安全组/防火墙是否放行了新端口（如果改过端口），否则连建立 TCP 连接都失败，不是认证问题

后续验证与防退化

加固不是一次操作，而是持续状态。很多系统升级或自动配置工具会悄悄重置 sshd_config。

• 定期检查实际生效的配置：sudo sshd -T | grep -E "^(password|pubkey|permit|usepam)"，它显示运行时真实值，比读文件更可靠
• 留意日志中是否还有密码尝试痕迹：grep "password" /var/log/auth.log | tail -10；若有，说明某处仍开着口子
• 如果用 Ansible 或其他自动化工具管理配置，确保模板里明确覆盖这四行，而非“追加”，避免旧配置残留
• 特别注意容器化或 CI/CD 部署的临时服务器，它们常跳过密钥部署步骤，直接禁密码会导致整个流程卡死

最常被忽略的点：你以为关掉了密码登录，但 UsePAM yes + pam_pwquality 之类模块可能让密码验证在 PAM 层复活；所以 UsePAM no 不是可选项，是必要项。

文中关于的知识介绍，希望对你的学习有所帮助！若是受益匪浅，那就动动鼠标收藏这篇《LinuxSSH密钥登录安全设置详解》文章吧，也可关注golang学习网公众号了解相关技术文章。