SSH 免密登录基于非对称加密实现,通过本地生成密钥对并将公钥上传至远程机器的 authorized_keys 文件完成认证。配置涵盖 Linux 到 Linux、Windows 到 Linux 及多服务器互信场景,支持 ED25519 和 RSA 算法。关键步骤包括生成密钥、使用 ssh-copy-id 或手动复制公钥、验证权限及测试连接。安全方面建议禁用密码登录并严格限制.ssh 目录权限为 700 和 600。常见问题排查需关注网络端口、权限设置及 SSH 配置文件状态。
本文档详细说明 SSH 免密登录的配置方法(含本地→远程、多服务器互信),同时补充Windows(Git Bash/WSL)连 Linux 免密、禁用密码登录强化安全、多密钥管理等实用场景,步骤适配所有主流 Linux 发行版(CentOS/Ubuntu/Debian/AlmaLinux),核心原理为SSH 公钥认证,配置后无需重复输入密码即可登录/执行远程命令。
SSH 免密登录基于非对称加密实现,核心分 3 个环节:
id_xxxid_xxx.pub~/.ssh/authorized_keys 文件(SSH 认证白名单);加密算法推荐:优先用 ED25519(更安全、密钥体积小),兼容旧系统可使用 RSA(推荐 2048 位及以上)。
openssh-client 和 openssh-server(Linux 默认自带,未安装可按下方命令补装);~/.ssh 目录权限为过宽(如 777),Linux 对 SSH 认证目录的权限有严格限制(核心避坑点)。# CentOS/RHEL/AlmaLinux 7/8/9
yum install -y openssh-clients openssh-server
systemctl enable --now sshd # 启动并开机自启 SSH 服务
# Ubuntu/Debian
apt update && apt install -y openssh-client openssh-server
systemctl enable --now ssh # Ubuntu 中服务名是 ssh,不是 sshd
登录本地 Linux,执行密钥生成命令(二选一,优先 ED25519),全程回车默认即可(无需设置密钥密码,设置则为「双因素认证」,需输入密钥密码才能免密登录)。
ssh-keygen -t ed25519
ssh-keygen -t rsa -b 4096 # -b 指定密钥长度,4096 位比默认 2048 位更安全
密钥对会默认生成在本地机器的 ~/.ssh/ 目录下,生成后目录下会出现 2 个核心文件:
# 查看生成的密钥文件
ls -l ~/.ssh/
# 输出(ED25519 为例,RSA 则为 id_rsa/id_rsa.pub)
-rw------- 1 user user 411 月 日 时:分 id_ed25519 # 私钥,权限必须为 600,严禁公开/修改
-rw-r--r-- 1 user user 102 月 日 时:分 id_ed25519.pub # 公钥,可自由传输到目标机器
关键:本地私钥默认权限为 600(仅所有者可读可写),若被修改会导致 SSH 认证失败,无需手动调整。
提供2 种上传方法,方法 1(ssh-copy-id) 最快捷(推荐),方法 2(手动复制) 适配无 ssh-copy-id 的极简系统(如嵌入式 Linux)。
核心命令格式:ssh-copy-id [远程用户]@[远程机器 IP/主机名],执行后输入远程机器的用户密码即可完成上传(仅最后一次输入密码)。
# 示例:远程用户为 root,远程 IP 为 192.168.1.100(替换为实际信息)
ssh-copy-id [email protected]
# 若远程 SSH 端口非默认 22(如改为 2222),加-p 参数
ssh-copy-id -p 2222 [email protected]
作用:该命令会自动完成 3 件事:
~/.ssh 目录,自动创建(权限 700);~/.ssh/authorized_keys 文件(权限 600);若本地/远程机器无 ssh-copy-id 命令,通过cat+ssh手动传输公钥,步骤如下:
# 核心命令:将本地公钥追加到远程 authorized_keys(ED25519 为例,RSA 替换为 id_rsa.pub)
cat ~/.ssh/id_ed25519.pub | ssh [email protected] 'mkdir -p ~/.ssh && cat >> ~/.ssh/authorized_keys && chmod 700 ~/.ssh && chmod 600 ~/.ssh/authorized_keys'
# 端口非 22 则加-p:
cat ~/.ssh/id_ed25519.pub | ssh -p 2222 [email protected] 'mkdir -p ~/.ssh && cat >> ~/.ssh/authorized_keys && chmod 700 ~/.ssh && chmod 600 ~/.ssh/authorized_keys'
命令说明:
mkdir -p ~/.ssh:远程无.ssh 目录则创建,有则不报错;cat >> ~/.ssh/authorized_keys:将本地公钥追加到远程认证文件(避免覆盖已有公钥);chmod 700/600:强制设置远程.ssh 目录和认证文件的合规权限。本地机器执行 SSH 登录命令,无需输入密码即成功登录,说明配置完成:
# 基础登录(默认 22 端口)
ssh [email protected]
# 非 22 端口
ssh -p 2222 [email protected]
# 免密执行远程命令(无需登录)
ssh [email protected] 'ls -l /root' # 远程执行 ls 命令,本地输出结果
若需要远程机器免密登录本地,仅需在远程机器重复上述步骤 1-3:
ssh-keygen 生成密钥对;ssh-copy-id 本地用户@本地 IP,输入本地机器密码;ssh 本地用户@本地 IP 验证免密。Windows 下常用的 SSH 工具(Git Bash、WSL、PowerShell7+、OpenSSH)均支持该配置,步骤与 Linux 完全一致:
ssh-keygen -t ed25519 生成密钥对(密钥保存在 C:\Users\你的 Windows 用户名.ssh\);ssh-copy-id 远程用户@远程 IP 上传公钥;ssh 远程用户@远程 IP 验证免密。CentOS/RHEL 7+、Ubuntu 20.04+ 部分版本默认禁止 root 用户 SSH 密码登录,但公钥免密需确认远程机器的 SSH 配置,若 root 免密登录失败,按以下步骤开启:
重启 SSH 服务使配置生效:
# CentOS/RHEL/AlmaLinux
systemctl restart sshd
# Ubuntu/Debian
systemctl restart ssh
找到以下配置项,修改为对应值(无则新增):
PermitRootLogin yes # 允许 rootSSH 登录(公钥认证)
PubkeyAuthentication yes # 开启公钥认证(默认开启,确保未被注释)
PasswordAuthentication yes # 暂时保留密码登录,验证免密后再禁用
ChallengeResponseAuthentication no
登录远程机器,编辑 SSH 配置文件:
vi /etc/ssh/sshd_config
若本地需要用不同密钥连接不同远程服务器(如公司服务器用密钥 A,个人服务器用密钥 B),需创建SSH 配置文件 ~/.ssh/config,实现「按主机名自动匹配密钥」:
免密登录简化命令(直接用自定义主机名):
ssh company-server # 连接公司服务器
ssh personal-server # 连接个人服务器
设置配置文件权限(必须为 600,否则 SSH 忽略):
chmod 600 ~/.ssh/config
写入以下内容(按实际信息修改,可新增多个 Host):
# 公司服务器(自定义主机名:company-server,可任意命名)
Host company-server
HostName 192.168.1.100 # 远程服务器 IP
Port 22 # SSH 端口
User root # 远程登录用户
IdentityFile ~/.ssh/id_ed25519_company # 该服务器对应的私钥路径
# 个人服务器(自定义主机名:personal-server)
Host personal-server
HostName 10.0.0.5 # 远程服务器 IP
Port 2222 # 非默认端口
User ubuntu # 远程登录用户
IdentityFile ~/.ssh/id_rsa_personal # 该服务器对应的私钥路径
本地创建并编辑配置文件:
vi ~/.ssh/config
免密登录验证成功后,强烈建议禁用远程机器的密码登录,避免暴力破解,步骤如下:
重启 SSH 服务:
# CentOS/RHEL/AlmaLinux
systemctl restart sshd
# Ubuntu/Debian
systemctl restart ssh
修改核心配置项:
PasswordAuthentication no # 禁用密码登录(仅保留公钥认证)
PermitEmptyPasswords no # 禁止空密码登录
登录远程机器,编辑 SSH 配置文件:
vi /etc/ssh/sshd_config
关键:禁用密码前务必确保公钥免密登录正常,否则会导致无法远程登录服务器!
Linux SSH 对本地/远程的 .ssh 目录和相关文件权限有严格限制,非合规权限会直接导致公钥认证失败,以下是必须遵守的权限规则,配置后若免密失败,优先检查权限:
# 检查本地权限,执行后按以下标准核对
ls -ld ~/.ssh && ls -l ~/.ssh/
| 文件/目录 | 必须权限 | 作用 |
|---|---|---|
~/.ssh | 700(drwx------) | 仅所有者可访问 |
~/.ssh/id_ed25519/id_rsa(私钥) | 600(-rw-------) | 仅所有者可读可写,严禁其他用户访问 |
~/.ssh/id_ed25519.pub/id_rsa.pub(公钥) | 644(-rw-r–r–) | 公钥可公开,权限无严格限制 |
~/.ssh/config(若有) | 600(-rw-------) | 仅所有者可访问 |
# 登录远程机器,检查权限
ls -ld ~/.ssh && ls -l ~/.ssh/authorized_keys
| 文件/目录 | 必须权限 | 作用 |
|---|---|---|
~/.ssh | 700(drwx------) | 仅所有者可访问 |
~/.ssh/authorized_keys(公钥白名单) | 600(-rw-------) | 仅所有者可读写,禁止其他用户修改 |
远程用户家目录 ~ | 不可为 777 | 若家目录权限为 777,SSH 会拒绝认证 |
# 远程机器执行
chmod 700 ~/.ssh && chmod 600 ~/.ssh/authorized_keys && chown -R 用户名:用户名 ~/.ssh
# 示例:远程用户为 root
chmod 700 ~/.ssh && chmod 600 ~/.ssh/authorized_keys && chown -R root:root ~/.ssh
若按步骤配置后仍需输入密码,按以下顺序排查(从易到难):
telnet 远程 IP 22 检查 22 端口是否开放;sshd_config 中 PubkeyAuthentication yes 未被注释;查看 SSH 调试日志:本地执行带 -v 的 SSH 命令,查看认证失败原因(关键):
ssh -v [email protected] # -v 显示调试信息,-vvv 显示更详细信息
检查 SELinux/防火墙:远程机器关闭 SELinux(临时)或放行 SSH 端口,关闭防火墙测试:
# 临时关闭 SELinux(CentOS/RHEL)
setenforce 0
# 临时关闭防火墙
systemctl stop firewalld # CentOS/RHEL
ufw disable # Ubuntu/Debian
检查公钥是否匹配:本地公钥内容与远程 authorized_keys 中的内容完全一致(无换行/空格错误);
# 本地查看公钥
cat ~/.ssh/id_ed25519.pub
# 远程查看公钥白名单
cat ~/.ssh/authorized_keys
| 场景 | 命令 |
|---|---|
| 查看本地 SSH 密钥指纹 | ssh-keygen -lf ~/.ssh/id_ed25519.pub |
| 远程机器查看已授权公钥 | cat ~/.ssh/authorized_keys |
| 远程机器删除某条公钥 | 编辑 ~/.ssh/authorized_keys,删除对应行 |
| 本地测试 SSH 连接(不登录) | ssh -T [email protected] |
| 重启 SSH 服务(CentOS) | systemctl restart sshd |
| 重启 SSH 服务(Ubuntu) | systemctl restart ssh |
| 查看 SSH 服务状态 | systemctl status sshd/ssh |
.ssh 目录和文件权限,700(目录)/600(私钥/认证文件) 是关键;ssh -v 查看调试日志是终极方法。
微信公众号「极客日志」,在微信中扫描左侧二维码关注。展示文案:极客日志 zeeklog
将字符串编码和解码为其 Base64 格式表示形式即可。 在线工具,Base64 字符串编码/解码在线工具,online
将字符串、文件或图像转换为其 Base64 表示形式。 在线工具,Base64 文件转换器在线工具,online
将 Markdown(GFM)转为 HTML 片段,浏览器内 marked 解析;与 HTML转Markdown 互为补充。 在线工具,Markdown转HTML在线工具,online
将 HTML 片段转为 GitHub Flavored Markdown,支持标题、列表、链接、代码块与表格等;浏览器内处理,可链接预填。 在线工具,HTML转Markdown在线工具,online
通过删除不必要的空白来缩小和压缩JSON。 在线工具,JSON 压缩在线工具,online
将JSON字符串修饰为友好的可读格式。 在线工具,JSON美化和格式化在线工具,online