LinuxSSH密钥登录设置详解

本文深入解析Linux系统中SSH密钥登录的完整配置流程与高频故障排查要点，直击80%以上失败案例的核心原因——authorized_keys权限错误、过早禁用密码认证及未验证密钥连通性，并强调必须采用更安全高效的ed25519算法生成密钥对，严格管控客户端私钥（600）、服务端.ssh目录（700）和authorized_keys文件（600）的权限，同时指出关键原则：PasswordAuthentication no仅能在密钥登录已稳定验证后启用，而非配置第一步；文章还提供ssh-copy-id自动化部署建议、手动配置避坑指南、sshd_config安全配置要点及四步精准排错法，揭示SSH密钥登录真正的难点在于整条权限链与配置逻辑顺序的零容错要求，助你一次配通、长期安心。

ssh-keygen 生成的密钥必须配对使用，且服务器端 authorized_keys 权限错误、PasswordAuthentication no 提前启用、未验证密钥连通性——这三类操作失误占 SSH 密钥登录失败案例的 80% 以上。

用 ssh-keygen -t ed25519 生成现代密钥对

• 运行 ssh-keygen -t ed25519 -C "you@example.com"，回车接受默认路径 ~/.ssh/id_ed25519
• 可选但建议：输入 passphrase，防止私钥文件泄露后被直接滥用
• 生成后检查本地是否存在两个文件：id_ed25519（私钥，600 权限）和 id_ed25519.pub（公钥）

用 ssh-copy-id 或手动追加到 authorized_keys

• 推荐：运行 ssh-copy-id -i ~/.ssh/id_ed25519.pub user@server_ip，它会自动创建 ~/.ssh 目录、authorized_keys 文件，并设为 700 和 600
• 手动方式（仅调试用）：
  • 先确保服务器上 ~/.ssh 目录存在且权限为 700：mkdir -p ~/.ssh && chmod 700 ~/.ssh
  • 追加公钥：echo "公钥内容" >> ~/.ssh/authorized_keys
  • 立即修复权限：chmod 600 ~/.ssh/authorized_keys
• 注意：~（家目录）不能是 777 或含 sticky bit，否则 OpenSSH 拒绝读取密钥

修改 /etc/ssh/sshd_config 前必须确认密钥已生效

• 登录服务器后，检查以下配置项是否已启用：
  • PubkeyAuthentication yes（显式开启，别依赖默认值）
  • AuthorizedKeysFile .ssh/authorized_keys（确认路径没被覆盖）
  • PasswordAuthentication no —— 这行必须等下一步测试成功后再取消注释或改为 no
  • PermitRootLogin prohibit-password 或 no（禁止 root 密码登录，允许密钥可设为前者）
• 修改后务必执行 sshd -t 验证语法，无输出才代表合法
• 重启服务前，保持一个已登录终端不关闭，用于回滚

测试连接失败时优先检查这四点

• ~/.ssh/authorized_keys 文件权限不是 600（常见于用 vi 编辑后意外改了权限）
• SELinux 或 AppArmor 拦截（CentOS/RHEL 系统上运行 ausearch -m avc -ts recent | grep sshd 查拦截日志）
• sshd_config 中 AllowUsers 或 AllowGroups 未包含当前用户
• 客户端未指定私钥：ssh -i ~/.ssh/id_ed25519 user@server_ip（尤其当你有多个密钥时）

真正的难点不在生成密钥，而在于权限链的严格性：从客户端私钥文件权限，到服务器家目录、.ssh 目录、authorized_keys 文件，再到 sshd_config 的逐行逻辑顺序——任何一环松动，整个密钥登录就静默失效。

文中关于的知识介绍，希望对你的学习有所帮助！若是受益匪浅，那就动动鼠标收藏这篇《LinuxSSH密钥登录设置详解》文章吧，也可关注golang学习网公众号了解相关技术文章。