Linux怎么配置SSH免密登录_Linux如何使用密钥认证【教程】

知识点掌握了，还需要不断练习才能熟练运用。下面golang学习网给大家带来一个文章开发实战，手把手教大家学习《Linux怎么配置SSH免密登录_Linux如何使用密钥认证【教程】》，在实现功能的过程中也带大家重新温习相关知识点，温故而知新，回头看看说不定又有不一样的感悟！

首选 Ed25519 算法：ssh-keygen -t ed25519 -C "your@email.com"；仅当服务器过旧才用 rsa -b 4096；避免 2048 位 RSA 和 DSA；私钥务必 chmod 600，公钥用 ssh-copy-id 安全部署。

ssh-keygen 生成密钥时该选什么算法和长度

现在默认的 ssh-keygen 仍用 RSA，但它已不是最安全或最高效的选择。Ed25519 是更现代、更快、抗侧信道攻击更强的算法，且密钥更短（32 字节），推荐优先使用。

• ssh-keygen -t ed25519 -C "your@email.com"：无脑首选，兼容 OpenSSH 6.5+（2014 年后几乎所有 Linux 发行版都支持）
• ssh-keygen -t rsa -b 4096 -C "your@email.com"：仅当目标服务器太老（如 CentOS 6 或某些嵌入式设备）才退而求其次
• 避免用 -b 2048 或默认 2048 位 RSA——NIST 已建议淘汰；也别用 DSA（-t dsa），OpenSSH 7.0+ 已禁用

生成过程提示 Enter passphrase 时，留空可实现真正“免密登录”，但私钥一旦泄露即失守；设密码则每次连接需输一次——可用 ssh-agent 缓存解密后的私钥，兼顾安全与便利。

公钥怎么传到服务器上才不翻车

手动复制 id_rsa.pub 内容粘贴进远程 ~/.ssh/authorized_keys 是最容易出权限错误的方式。更可靠的是用 ssh-copy-id，它自动处理目录创建、文件追加和权限设置。

• ssh-copy-id -i ~/.ssh/id_ed25519.pub user@host：端口非 22 时加 -p 2222
• 若 ssh-copy-id 不可用（如 Windows 或旧系统），用管道方式更稳妥：
  cat ~/.ssh/id_ed25519.pub | ssh user@host "mkdir -p ~/.ssh && chmod 700 ~/.ssh && cat >> ~/.ssh/authorized_keys && chmod 600 ~/.ssh/authorized_keys"
• 切忌直接 cp id_ed25519.pub authorized_keys ——会覆盖已有密钥，且没设对权限

常见报错 Permission denied (publickey)，90% 是因为 ~/.ssh 目录权限 > 700，或 authorized_keys 文件权限 > 600。OpenSSH 极其严格，连 group 可读都不行。

/etc/ssh/sshd_config 关键配置项别写错

改完配置不等于生效，必须确认三项启用且未被注释，否则密钥认证根本不会触发。

• PubkeyAuthentication yes：必须为 yes，默认通常是开启的，但有些云镜像会关掉
• AuthorizedKeysFile .ssh/authorized_keys：路径不能写成绝对路径（如 /home/user/.ssh/authorized_keys），OpenSSH 会按用户 home 展开相对路径
• PasswordAuthentication no：禁用密码登录前务必先用密钥成功登录一次！否则可能锁死自己

改完记得运行 sudo systemctl restart sshd（systemd 系统）或 sudo service ssh restart（SysVinit）。验证是否生效：用 sudo ss -tlnp | grep :22 看 sshd 进程是否已重载配置。

为什么能连上却还要输密码

这不是网络问题，而是 SSH 认证流程卡在了“可用方法”判断环节。典型现象是：终端显示 debug1: Next authentication method: publickey 后又跳回 password: 提示。

• 检查服务端 /var/log/auth.log（Ubuntu/Debian）或 /var/log/secure（RHEL/CentOS），搜索 Authentication refused 或 bad ownership，基本就是权限或路径问题
• 客户端加 -v 参数调试：ssh -v user@host，看输出里有没有 Offering public key 和对应 Server accepts key
• 注意 SELinux：CentOS/RHEL 开启 SELinux 时，~/.ssh 目录上下文可能被重置，执行 restorecon -Rv ~/.ssh 可修复

最常被忽略的一点：私钥文件（如 id_ed25519）在客户端本地也必须是 600 权限，否则 OpenSSH 直接拒绝加载——连尝试都不会有。

今天关于《Linux怎么配置SSH免密登录_Linux如何使用密钥认证【教程】》的内容介绍就到此结束，如果有什么疑问或者建议，可以在golang学习网公众号下多多回复交流；文中若有不正之处，也希望回复留言以告知！