Linux免密SSH登录设置教程

本文深入解析了Linux系统中免密SSH登录配置的常见失败原因与精准解决方案，直击公钥未正确部署、目录及文件权限设置不当、服务端密钥认证未启用这三大核心痛点；从ssh-keygen安全生成密钥、ssh-copy-id高效分发公钥，到手动修复目标端权限、验证sshd_config关键配置项（PubkeyAuthentication、AuthorizedKeysFile、PasswordAuthentication），再到排查用户身份一致性、公钥格式完整性及SELinux上下文异常等隐蔽陷阱，提供了一套完整、可靠、可落地的操作指南，助你彻底告别反复输密码的困扰。

免密 SSH 登录失败，八成不是密钥没生成，而是公钥没落进正确位置、权限不对、或者服务端没开密钥认证。

ssh-keygen 生成密钥时别乱改默认路径

直接运行 ssh-keygen -t rsa（或更推荐的 ssh-keygen -t ed25519）即可，一路回车。它会把私钥存为 ~/.ssh/id_rsa（或 id_ed25519），公钥为对应 .pub 文件。

不要手动指定路径如 /tmp/mykey，否则后续 ssh-copy-id 或 OpenSSH 客户端默认找不到它，还得额外用 -i 指定，容易漏。

• 普通用户：密钥在 /home/用户名/.ssh/
• root 用户：密钥在 /root/.ssh/
• 如果目标登录用户是 www，就得切到 www 账户下执行 ssh-keygen，而不是在 root 下生成再拷过去

ssh-copy-id 失败？先确认目标端 ~/.ssh 目录和权限

ssh-copy-id 不是万能的。它依赖目标用户家目录下 ~/.ssh 存在且权限为 700，authorized_keys 权限为 600。如果目标端是全新系统或权限被重置过，ssh-copy-id 会静默失败或写入不生效。

手动补救步骤（在目标服务器上执行）：

• mkdir -p ~/.ssh
• chmod 700 ~/.ssh
• touch ~/.ssh/authorized_keys
• chmod 600 ~/.ssh/authorized_keys
• cat /path/to/id_rsa.pub >> ~/.ssh/authorized_keys（注意是 >> 追加，不是 > 覆盖）

特别注意：~/.ssh 所在的用户主目录（如 /home/www）权限不能是 777，OpenSSH 会拒绝读取密钥——常见于某些一键脚本误设目录权限。

连不上？检查 sshd_config 里这三项是否启用

服务端 /etc/ssh/sshd_config 必须显式开启密钥认证，仅生成密钥不生效：

• PubkeyAuthentication yes（必须）
• AuthorizedKeysFile .ssh/authorized_keys（确认路径没被改掉）
• PasswordAuthentication no（可选，但禁用密码前务必先测试密钥能登上去）

改完配置后必须重启服务：sudo systemctl restart sshd（或 service ssh restart）。别只 reload，有些老版本 reload 不重载认证模块。

如果目标服务器改了 SSH 端口（比如 60920），ssh-copy-id 要加 -p 60920，测试登录也要加 ssh -p 60920 user@host。

为什么能生成密钥却始终要输密码？重点查这三处

最常被忽略的三个硬性条件：

• 客户端发起连接的用户，和目标服务器上 ~/.ssh/authorized_keys 所在的用户，必须是同一个（比如你是用 www@192.168.4.181 登录，那 authorized_keys 就得在 /home/www/.ssh/ 下）
• authorized_keys 文件里粘贴的公钥，必须是完整一行，不能有多余空格、换行或中文标点（复制时小心鼠标选中带了回车）
• 目标服务器的 SELinux 如果是 enforcing 模式，且 ~/.ssh 目录上下文不对（如被 cp 或 mv 破坏），会导致 SSH 拒绝读取——临时用 setenforce 0 测试，确认是它就用 restorecon -Rv ~/.ssh 修复

好了，本文到此结束，带大家了解了《Linux免密SSH登录设置教程》，希望本文对你有所帮助！关注golang学习网公众号，给大家分享更多文章知识！