LinuxSSH证书免密登录配置详解

本文深入解析了Linux SSH证书免密登录的核心原理与实战要点，从ssh-copy-id命令的本质作用（自动追加公钥并修复关键权限）出发，系统梳理了90%免密失败的根源——并非密钥问题，而是远程端.ssh目录或authorized_keys文件权限错误（必须700和600）、家目录归属异常、SELinux/NFS限制、sshd服务未启用PubkeyAuthentication等隐蔽陷阱；同时提供了跨平台（含Windows客户端）的避坑指南、调试技巧（如-v参数、日志定位、sshd -t验证）及安全可靠的手动配置方案，助你真正掌握SSH免密登录的底层逻辑与排错能力。

能直接用 ssh-copy-id 就别手撸，但前提是它能跑通；否则你得知道它背后在干啥、哪里会卡住。

ssh-copy-id 命令到底做了什么

它不是魔法，只是把本地 ~/.ssh/id_rsa.pub 的内容，通过一次带密码的 SSH 连接，自动追加到远程主机的 ~/.ssh/authorized_keys 里，并顺手修好权限（.ssh 目录 700，authorized_keys 文件 600）。

常见错误现象：

• 报错 Permission denied (publickey) —— 实际是没连上，ssh-copy-id 根本没执行成功
• 提示 Could not open a connection to your authentication agent —— 本地没运行 ssh-agent，或没用 ssh-add 加载私钥
• 连上了但 authorized_keys 没更新 —— 远程用户家目录不存在 .ssh，且 ssh-copy-id 没权限自动创建（比如远程用了 NFS 挂载或 SELinux 限制）

实操建议：

• 先确认能普通登录：ssh user@host 输密码进得去，ssh-copy-id 才可能成功
• 指定端口时必须用 -p（小写），不是 --port：ssh-copy-id -p 60920 user@host
• 想用非默认密钥（比如 id_ed25519），加 -i ~/.ssh/id_ed25519.pub
• 如果失败，别反复重试，直接看它实际执行的命令（加 -v 参数）：它最终调用的是 ssh + mkdir -p .ssh && cat >> .ssh/authorized_keys 这一整串

手动复制公钥时权限和路径最容易出错

90% 的“免密失败”问题出在远程端的文件权限或路径不对，不是密钥本身有问题。

关键点：

• ~/.ssh 目录权限必须是 700（drwx------），不能是 755 或 777；OpenSSH 默认拒绝读写权限过宽的目录
• ~/.ssh/authorized_keys 文件权限必须是 600（-rw-------），哪怕只多一个 group 可读（644）也会被忽略
• 确保远程用户的家目录归属正确：chown -R user:user ~user，尤其在 root 下操作后容易漏掉
• 如果远程 ~/.ssh 是软链接，OpenSSH 会直接拒绝——必须是真实目录

安全起见，手动操作推荐这样走：

ssh user@host "mkdir -p ~/.ssh && chmod 700 ~/.ssh"
cat ~/.ssh/id_rsa.pub | ssh user@host "cat >> ~/.ssh/authorized_keys && chmod 600 ~/.ssh/authorized_keys"

为什么改了 sshd_config 还是要求输密码

即使公钥已放对、权限也设好，sshd 服务本身没开密钥认证，照样不认。

检查并确认以下三项都启用（取消注释且值为 yes）：

• PubkeyAuthentication yes
• AuthorizedKeysFile .ssh/authorized_keys（路径别写错，不能带 %u 或其他变量）
• PermitEmptyPasswords no（这个不是必须，但设成 yes 会导致密码为空也能登，属于逻辑混乱）

改完必须重启服务：sudo systemctl restart sshd（CentOS/RHEL）或 sudo systemctl restart ssh（Ubuntu/Debian）。别只 reload，有些旧版本 reload 不生效。

验证配置是否加载成功：sudo sshd -t，输出 syntax ok 才算过关。

Windows 到 Linux 免密登录的特殊处理

Win 端生成密钥后，默认保存在 C:\Users\用户名\.ssh\，但 OpenSSH for Windows 有时会因用户名含中文或环境变量缺失导致路径错乱。

实操要点：

• 务必手动设置系统环境变量 HOME=C:\Users\用户名，否则 ssh-keygen 和 ssh 都找不到密钥位置
• 用 Git Bash 或 WSL 更稳，它们自带完整 OpenSSH 工具链，且路径解析更可靠
• 上传公钥时，别依赖图形化 SFTP 工具修改 authorized_keys 权限——Windows 无法直接设 Linux 的 600 权限，必须用 ssh 命令进去改
• 测试时加 -v 看详细日志：ssh -v user@host，重点关注 debug1: Next authentication method: publickey 后有没有 Offering public key 和 Server accepts key

最易被忽略的一点：Linux 端的 /var/log/secure（RHEL/CentOS）或 /var/log/auth.log（Ubuntu/Debian）里，会明确写出拒绝原因，比如 Authentication refused: bad ownership or modes for directory /home/user/.ssh —— 这比猜强十倍。

以上就是《LinuxSSH证书免密登录配置详解》的详细内容，更多关于Linux的资料请关注golang学习网公众号！