掌握 SSH Keygen：安全连接服务器的方法 – wiki基地

---

掌握 SSH Keygen：构建安全服务器连接的深度指南

在现代的网络世界中，与远程服务器进行交互是家常便饭的操作。无论是管理网站、部署应用、维护数据库，还是进行版本控制（如使用 Git），安全、便捷地连接到远程主机是完成任务的前提。传统上，我们使用用户名和密码进行认证。然而，这种方式存在显而易见的风险：密码容易被猜测、被暴力破解，或者在传输过程中被截获。一旦密码泄露，远程服务器的安全将面临严重威胁。

有没有一种更安全、更便捷的方式来取代密码认证呢？答案就是 SSH 密钥认证。通过使用一对加密密钥——一个公开的密钥和一个私有的密钥——我们可以实现无需输入密码，却拥有更高安全性的连接。而生成这对密钥的关键工具，就是我们今天要深入探讨的 ssh-keygen 命令。

本文将带领你全面掌握 SSH 密钥认证的原理、ssh-keygen 工具的使用方法、密钥的部署与管理，以及相关的安全最佳实践。读完本文，你将能够自信地放弃密码认证，拥抱更加安全高效的 SSH 密钥连接。

第一部分：SSH 连接的基础与密码认证的局限性

在深入了解 SSH 密钥之前，让我们先回顾一下 SSH 本身。

什么是 SSH？

SSH（Secure Shell）是一种加密的网络协议，用于在不安全的网络上安全地执行网络服务，最常见的应用是远程命令行登录。它提供了一种安全的通道，通过该通道传输的所有数据都是加密的，可以有效地防止信息泄露和中间人攻击。SSH 协议族包括多种组件，但对于用户而言，最常用的是 SSH 客户端程序（用于发起连接）和 SSH 服务器程序（守护进程，如 sshd，用于接收连接）。

传统的密码认证方式

SSH 连接最直观的认证方式就是使用用户名和密码。当客户端尝试连接服务器时，服务器会要求输入用户名和密码。客户端将这些凭据发送给服务器进行验证。如果验证通过，连接建立；否则，连接被拒绝。

密码认证的局限性与风险

尽管 SSH 协议本身是加密的，但密码认证方式仍存在固有的弱点：

1. 暴力破解攻击 (Brute-Force Attacks): 攻击者可以尝试无数种用户名和密码组合，直到猜对为止。尤其当用户使用弱密码时，这种攻击很容易成功。
2. 字典攻击 (Dictionary Attacks): 攻击者使用包含常用词汇、姓名、日期等组合的字典来猜测密码。
3. 键盘记录 (Keylogging): 如果客户端计算机被恶意软件感染，输入的密码可能被记录下来。
4. 中间人攻击 (Man-in-the-Middle Attacks – MITM): 虽然 SSH 协议本身旨在防止 MITM，但如果客户端首次连接服务器时没有验证服务器的指纹，或者服务器的密钥被冒充，仍存在风险。攻击者可能在客户端和服务器之间建立代理，截获密码。
5. 人为错误: 用户可能在不安全的网络上输入密码，或者在多个地方重复使用相同的密码。
6. 管理负担: 需要记住复杂的密码，定期更改密码，增加了用户和管理员的负担。

这些风险都指向一个结论：对于重要的服务器连接，依赖密码认证是不足够安全的。我们需要一种更强大的认证机制。

第二部分：SSH 密钥认证的原理——公钥/私钥加密

SSH 密钥认证正是为了解决密码认证的不足而设计的。它基于 公钥加密（Public-Key Cryptography），也称为非对称加密。

公钥加密的核心概念

公钥加密系统使用一对密钥：

• 公钥 (Public Key): 可以公开分享给任何人。
• 私钥 (Private Key): 必须严格保密，只有密钥的拥有者才能访问。

这对密钥是数学上相关的，但从公钥推导出私钥在计算上是不可行的（至少在当前的技术水平下）。

公钥加密有两个主要用途：

1. 加密通信: 用接收者的公钥加密信息，只有拥有对应私钥的接收者才能解密。
2. 数字签名/身份认证: 用发送者的私钥对信息进行签名，任何人都可以使用发送者的公钥来验证签名的有效性，从而确认信息确实来自声称的发送者，并且未被篡改。

SSH 密钥认证的工作流程

SSH 密钥认证主要利用了公钥加密的第二个用途——数字签名/身份认证。其基本流程如下：

1. 生成密钥对: 在客户端计算机上，使用工具（例如 ssh-keygen）生成一对公钥和私钥。
2. 部署公钥: 将客户端的公钥复制到需要连接的远程服务器上，存储在特定文件（通常是 ~/.ssh/authorized_keys）中。私钥绝对不能离开客户端计算机。
3. 发起连接: 当客户端尝试连接服务器时，服务器会发送一个随机生成的数据片段（挑战）给客户端。
4. 客户端签名: 客户端使用其私钥对这个随机数据片段进行数字签名。
5. 发送签名: 客户端将签名后的数据发送回服务器。
6. 服务器验证: 服务器接收到签名后，查找连接用户对应的公钥（在 authorized_keys 文件中）。然后，服务器使用该公钥来验证收到的签名。
7. 认证结果:
   • 如果签名验证成功，表明客户端确实拥有与服务器上存储的公钥匹配的私钥。服务器认为客户端是可信的，允许连接建立，无需输入密码。
   • 如果签名验证失败，认证失败，连接被拒绝。

整个过程中，私钥从未通过网络传输，大大降低了泄露的风险。只有拥有正确私钥的客户端才能成功通过认证。

第三部分：认识 ssh-keygen – SSH 密钥的生成工具

ssh-keygen 是 OpenSSH 套件中用于生成、管理和转换认证密钥的命令行工具。它是我们在客户端创建 SSH 密钥对的核心工具。

ssh-keygen 的基本功能

ssh-keygen 可以完成以下任务：

• 生成新的 SSH 密钥对（这是最常见的功能）。
• 管理现有的密钥文件（例如，更改密钥的注释或 passphrase）。
• 转换密钥格式。
• 生成密钥指纹（fingerprint）。

ssh-keygen 的基本语法

在终端中，ssh-keygen 的基本调用非常简单：

bash
ssh-keygen [options]

不带任何选项执行 ssh-keygen 会启动一个交互式过程，引导你完成密钥生成。

第四部分：一步步生成你的 SSH 密钥对

现在，让我们详细讲解如何使用 ssh-keygen 生成密钥对。

步骤 1：打开终端或命令提示符

无论你使用的是 Linux、macOS 还是 Windows（通过 WSL, Git Bash, Cygwin 或新的 Windows Terminal），你需要打开一个命令行界面。

步骤 2：运行 ssh-keygen 命令

最简单的入门方式是直接输入：

bash
ssh-keygen

执行后，ssh-keygen 会开始交互式地询问你一些问题。

问题 1：密钥文件的保存位置 (Enter file in which to save the key)

Generating public/private rsa key pair.
Enter file in which to save the key (/home/your_username/.ssh/id_rsa):

这是询问你希望将新生成的密钥对保存在哪个文件。默认位置是用户主目录下的 .ssh 子目录中，文件名为 id_rsa（私钥）和 id_rsa.pub（公钥）。

• .ssh 目录是 SSH 客户端和服务器存储配置和密钥文件的标准位置，通常会自动创建。
• id_rsa 是使用 RSA 算法生成的私钥文件的默认名称。
• id_rsa.pub 是对应的公钥文件。

对于大多数用户，直接按 Enter 键接受默认位置即可。如果你需要为不同的服务器或目的生成多个密钥对，可以指定不同的文件名，例如 /home/your_username/.ssh/id_serverX_rsa。

问题 2：设置 Passphrase (Enter passphrase (empty for no passphrase):)

Enter passphrase (empty for no passphrase):
Enter same passphrase again:

这是一个非常重要的步骤！Passphrase（密码短语）是用来加密你的私钥的额外密码。

• 强烈建议设置一个 Passphrase。尽管 SSH 密钥认证比密码认证安全得多，但如果你的私钥文件本身落入坏人之手（例如你的笔记本电脑丢失或被盗），没有 Passphrase 的私钥可以直接用来冒充你登录所有你配置过公钥的服务器。
• 设置 Passphrase 后，每次使用私钥进行认证时（通常是第一次连接或重启客户端计算机后），都需要输入这个 Passphrase 来解锁私钥。
• Passphrase 可以包含空格和各种字符，越长越复杂越好。
• 如果你希望实现完全无需任何输入的连接（例如用于自动化脚本），可以选择不设置 Passphrase（直接按 Enter）。但请谨慎对待无 Passphrase 的私钥，务必确保其安全性。

输入你的 Passphrase，然后按 Enter。程序会要求你再次输入以确认。输入时终端不会显示任何字符，这是正常的安全措施。

密钥生成完成

输入并确认 Passphrase 后，ssh-keygen 就会生成密钥对，并显示一些信息：

Your identification has been saved in /home/your_username/.ssh/id_rsa
Your public key has been saved in /home/your_username/.ssh/id_rsa.pub
The key fingerprint is:
SHA256:....................................... user@hostname
The key's randomart image is:
+---[RSA 4096]----+
| .+oo*+= |
| . . .B+o |
| E . . *B= |
| o . o.o |
| . S . . |
| . . |
| |
| |
| |
+----[SHA256]-----+

这意味着你的私钥 (id_rsa) 和公钥 (id_rsa.pub) 已经成功生成并保存在指定的目录中。

• Fingerprint (指纹): 是公钥的哈希值。它可以用来验证你连接的服务器的公钥是否是你预期的，防止中间人攻击。在首次连接服务器时，服务器会显示其公钥指纹，你应该与你已知的指纹进行比对。
• Randomart image: 是指纹的一种可视化表示，旨在帮助用户更容易地区分不同的密钥指纹，尽管对于大多数用户来说，关注指纹字符串本身更重要。

步骤 3：检查生成的文件

你可以使用文件管理器或命令行查看生成的文件：

bash
ls -l ~/.ssh/

你应该能看到类似这样的输出（文件名取决于你生成时的选择）：

-rw------- 1 your_username your_username 3381 Feb 28 10:00 id_rsa
-rw-r--r-- 1 your_username your_username 747 Feb 28 10:00 id_rsa.pub

注意文件权限：

• id_rsa (私钥) 的权限通常是 600 (-rw-------)，这意味着只有文件的所有者有读写权限，其他人没有任何权限。这是非常重要的安全设置！ 如果权限不正确（例如对所有人可读写），SSH 客户端会拒绝使用这个私钥。
• id_rsa.pub (公钥) 的权限通常是 644 (-rw-r--r--)，这意味着所有者有读写权限，其他人只有读权限。公钥是公开的，所以这个权限是合理的。

如果权限不正确，可以使用 chmod 命令进行修正：

bash
chmod 600 ~/.ssh/id_rsa
chmod 644 ~/.ssh/id_rsa.pub

第五部分：ssh-keygen 的高级选项与密钥类型

ssh-keygen 还有许多有用的选项，可以让你更精细地控制密钥生成过程。

选择密钥类型 (-t type)

默认情况下，ssh-keygen 可能生成 RSA 或 Ed25519 类型的密钥（这取决于 OpenSSH 的版本和配置）。你可以使用 -t 选项指定密钥类型：

bash
ssh-keygen -t [dsa|ecdsa|ed25519|rsa]

• RSA: 最早、最普遍使用的类型。OpenSSH 默认生成 2048 位的 RSA 密钥。
• DSA: Digital Signature Algorithm，另一种数字签名算法。由于安全性问题，现在不推荐使用。
• ECDSA: Elliptic Curve Digital Signature Algorithm，椭圆曲线数字签名算法。比 RSA 更高效，提供相同的安全强度，但密钥长度更短。
• Ed25519: 基于 Edwards 曲线数字签名算法。被认为是最安全、高效且不容易受到侧信道攻击的密钥类型之一。推荐使用 Ed25519 或足够长的 RSA 密钥。

设置密钥长度 (-b bits)

对于 RSA 和 DSA 密钥，你可以使用 -b 选项指定密钥的位数：

bash
ssh-keygen -t rsa -b 4096 -C "my_rsa_key_4096_bits"

• 默认的 RSA 密钥长度通常是 2048 位，但为了更好的安全性，建议使用 4096 位。
• DSA 有固定的长度。
• ECDSA 和 Ed25519 密钥长度由曲线类型决定，通常不需要手动指定位数。

添加注释 (-C comment)

你可以使用 -C 选项为密钥添加一个注释。这个注释会包含在公钥文件的末尾，通常用于识别密钥的用途或所有者（例如邮箱地址或主机名）：

bash
ssh-keygen -t ed25519 -C "my_laptop_key_for_servers"

这有助于在使用多个密钥时进行区分。

指定输出文件 (-f filename)

如果你不想使用默认的 id_rsa 或 id_ed25519 等文件名，可以使用 -f 选项指定：

bash
ssh-keygen -t rsa -b 4096 -f ~/.ssh/id_work_server_rsa -C "Key for work server"

这将生成 ~/.ssh/id_work_server_rsa 和 ~/.ssh/id_work_server_rsa.pub 两个文件。

示例：生成一个推荐的 Ed25519 密钥

bash
ssh-keygen -t ed25519 -C "[email protected]_or_description"

按照提示设置 Passphrase，你将得到一个强大而现代的 SSH 密钥对。

第六部分：将公钥部署到服务器

生成了密钥对后，下一步是将公钥放到你想要连接的远程服务器上。私钥始终保存在你的本地机器上，而公钥需要上传到远程服务器的用户主目录下的 ~/.ssh/authorized_keys 文件中。

公钥文件内容格式

公钥文件的内容看起来像这样：

ssh-ed25519 AAAA...[很长一串字符]...== [email protected]_or_description

它包含密钥类型、密钥本身（Base64 编码）和可选的注释。

部署公钥的方法

有几种方法可以将公钥添加到服务器的 ~/.ssh/authorized_keys 文件中：

方法 1：使用 ssh-copy-id 命令 (推荐)

ssh-copy-id 是专门用于将公钥复制到远程服务器的工具。它是最简单、最安全、最可靠的方法，因为它会自动处理目标服务器上的 .ssh 目录和 authorized_keys 文件的权限设置。

语法：

bash
ssh-copy-id user@remote_host

或者指定端口：

bash
ssh-copy-id -p 2222 user@remote_host

如果你生成了非默认文件名的密钥（例如 ~/.ssh/id_work_server_rsa.pub），你需要使用 -i 选项指定公钥文件：

bash
ssh-copy-id -i ~/.ssh/id_work_server_rsa.pub user@remote_host

执行 ssh-copy-id 后：

1. 它会尝试使用密码连接到远程服务器（首次连接可能需要确认服务器指纹）。
2. 连接成功后，它会将你指定的公钥（默认为 ~/.ssh/id_rsa.pub 或 id_ed25519.pub）添加到远程用户主目录下的 ~/.ssh/authorized_keys 文件末尾。如果 .ssh 目录或 authorized_keys 文件不存在，它会自动创建并设置正确的权限。
3. 完成后，它会尝试使用密钥进行连接验证，并告诉你是否成功。

示例：

bash
ssh-copy-id remote_user@your_server_ip

你会被提示输入远程用户的密码。输入正确后，你的公钥就会被添加到服务器上。

方法 2：手动复制和粘贴 (需要小心)

如果你无法使用 ssh-copy-id (例如在一些极简的环境中)，可以手动完成。这需要你能够通过其他方式（如密码）连接到服务器。

1. 在本地机器上，复制公钥内容：
   bash
cat ~/.ssh/id_rsa.pub
   复制终端输出的完整公钥字符串（从 ssh-rsa 或 ssh-ed25519 开始直到注释结束）。

2. 通过密码连接到远程服务器：
   bash
ssh user@remote_host
# 输入密码

3. 在远程服务器上，创建或编辑 ~/.ssh/authorized_keys 文件：
   bash
mkdir -p ~/.ssh
chmod 700 ~/.ssh
echo "粘贴你复制的公钥字符串" >> ~/.ssh/authorized_keys
chmod 600 ~/.ssh/authorized_keys

   • mkdir -p ~/.ssh: 创建 .ssh 目录，如果它不存在的话。
   • chmod 700 ~/.ssh: 设置 .ssh 目录的权限为只有所有者有读、写、执行权限。这是强制性的安全要求，否则 SSH 服务器将忽略该目录下的文件。
   • echo "公钥字符串" >> ~/.ssh/authorized_keys: 将公钥追加到 authorized_keys 文件末尾。>> 表示追加，不会覆盖现有内容。如果文件不存在，会创建新文件。
   • chmod 600 ~/.ssh/authorized_keys: 设置 authorized_keys 文件的权限为只有所有者有读写权限。これも强制적인 보안 요구 사항입니다，否则 SSH 服务器将忽略该文件。

   请确保你粘贴的公钥字符串是完整的、没有换行或额外空格。

注意事项：

• 无论使用哪种方法，确保你将公钥添加到正确用户的 ~/.ssh/authorized_keys 文件中。
• 服务器端的 .ssh 目录和 authorized_keys 文件权限必须设置正确。

第七部分：使用 SSH 密钥进行连接

公钥部署完成后，你现在就可以尝试使用 SSH 密钥连接到服务器了。

1. 在本地终端中，发起 SSH 连接：
   bash
ssh user@remote_host

   如果你的 SSH 客户端配置正确，并且公钥已成功部署到服务器上，SSH 客户端会：

   a. 首先尝试使用你的默认私钥（通常是 ~/.ssh/id_rsa 或 id_ed25519）进行认证。
   b. 如果你的私钥设置了 Passphrase，SSH 客户端会提示你输入 Passphrase：
   Enter passphrase for key '/home/your_username/.ssh/id_rsa':
   输入正确的 Passphrase 后，客户端会解密私钥并在内存中使用它。
   c. 客户端使用私钥对服务器的挑战进行签名，并将签名发送给服务器。
   d. 服务器使用存储的公钥验证签名。
   e. 如果验证成功，你将直接登录到远程服务器的命令行，无需输入密码。

如果你生成了非默认文件名的密钥，连接时需要使用 -i 选项指定私钥文件：

bash
ssh -i ~/.ssh/id_work_server_rsa user@remote_host

第八部分：使用 ssh-agent 管理密钥和 Passphrase

如果你的私钥设置了 Passphrase，你会发现每次建立新的 SSH 连接时都需要重新输入 Passphrase，这会非常繁琐。ssh-agent 就是为了解决这个问题而存在的。

ssh-agent 的作用

ssh-agent 是一个后台进程，它在你的用户会话中运行。它可以缓存你的未加密的私钥（在输入 Passphrase 解锁后）。一旦私钥被添加到 ssh-agent 中，后续的 SSH 连接将直接从 ssh-agent 获取私钥进行认证，而无需你再次输入 Passphrase。这大大提高了便捷性，同时私钥本身仍在硬盘上以加密形式存储。

使用 ssh-agent

在大多数现代桌面 Linux 发行版或 macOS 中，ssh-agent 会在用户登录时自动启动。你可以通过查看环境变量来确认它是否正在运行：

bash
echo $SSH_AUTH_SOCK

如果输出了一个套接字文件路径（例如 /tmp/ssh-XXXXXX/agent.YYYY），说明 ssh-agent 正在运行。

如果 ssh-agent 没有自动启动，你可以手动启动它，并设置好相关的环境变量：

bash
eval "$(ssh-agent -s)"

将私钥添加到 ssh-agent (ssh-add)

启动 ssh-agent 后，你需要将你的私钥添加到其中：

bash
ssh-add ~/.ssh/id_rsa

如果你的私钥设置了 Passphrase，ssh-add 会提示你输入 Passphrase 来解锁私钥：

Enter passphrase for /home/your_username/.ssh/id_rsa:
Identity added: /home/your_username/.ssh/id_rsa (/home/your_username/.ssh/id_rsa)

输入正确的 Passphrase 后，私钥就被加载到 ssh-agent 的内存中。现在，当你使用 ssh 命令连接服务器时，SSH 客户端会自动与 ssh-agent 通信，获取私钥进行认证，你将不再被要求输入 Passphrase（除非你重启了电脑或 ssh-agent 进程）。

如果你的私钥文件名不是默认的，需要指定：

bash
ssh-add ~/.ssh/id_work_server_rsa

查看 ssh-agent 中已加载的密钥

使用 -l 选项可以列出 ssh-agent 中当前加载的所有私钥：

bash
ssh-add -l

从 ssh-agent 中删除密钥

使用 -d 选项可以从 ssh-agent 中删除指定的私钥：

bash
ssh-add -d ~/.ssh/id_rsa

使用 -D 选项可以删除 ssh-agent 中所有已加载的私钥：

bash
ssh-add -D

Passphrase 的重要性与 ssh-agent 的结合

尽管 ssh-agent 让你免去了频繁输入 Passphrase 的麻烦，但 Passphrase 仍然是至关重要的第一道防线。它保护了硬盘上加密存储的私钥文件本身。只有当私钥被加载到 ssh-agent 的内存中时，它才是未加密的状态。如果你的计算机锁定或关闭，ssh-agent 进程结束，私钥就会从内存中移除，下次需要再次输入 Passphrase 来解锁。

第九部分：SSH 密钥认证的安全最佳实践

掌握了 SSH 密钥的生成和使用后，为了最大化安全性，请务必遵循以下最佳实践：

1. 始终为你的私钥设置一个强 Passphrase。 这是一个额外的安全层，即使私钥文件泄露，没有 Passphrase 也难以使用。
2. 严格保护你的私钥文件 (~/.ssh/id_rsa 等)。 确保其文件权限是 600 (-rw-------)，并且只有你作为文件所有者可以访问。.ssh 目录的权限应为 700 (drwx------)。不正确的权限会导致 SSH 客户端拒绝使用密钥。
3. 私钥文件绝对不能离开你的本地计算机。 永远不要通过网络传输私钥，不要将其上传到服务器或其他任何地方。
4. 禁用服务器上的密码认证。 这是使用 SSH 密钥后最关键的安全加固步骤。编辑服务器上的 SSH 守护进程配置文件（通常是 /etc/ssh/sshd_config），找到 PasswordAuthentication 这一行，将其设置为 no：
   PasswordAuthentication no
   修改后，重启 SSH 服务（例如在大多数 Linux 系统上是 sudo systemctl restart sshd 或 sudo service ssh restart）。在禁用密码认证之前，务必确保你的密钥认证已经工作正常并且你能够通过密钥登录。 否则，你可能会将自己锁在服务器之外。
5. 定期审查服务器上 authorized_keys 文件的内容。 删除不再需要或不认识的公钥，防止未授权的访问。
6. 考虑为不同的服务器或目的生成不同的密钥对。 这样如果一个私钥泄露，其他服务器的连接不会受到影响。
7. 熟悉并验证服务器的公钥指纹。 在首次连接服务器时，SSH 客户端会显示服务器的公钥指纹，并询问你是否信任。你应该设法独立地获取服务器的指纹（例如通过带外通信、管理员提供等），并与客户端显示的进行比对，确认服务器的身份，防止中间人攻击。验证后，指纹会记录在 ~/.ssh/known_hosts 文件中。
8. 保持客户端和服务器的 OpenSSH 软件更新。 软件更新通常包含安全补丁和新功能（如支持更强的密钥类型）。

第十部分：常见问题和故障排除

在使用 SSH 密钥的过程中，可能会遇到一些问题。以下是一些常见的故障排除技巧：

1. 错误：Permission denied (publickey).

   • 原因： 这是最常见的错误，表示服务器拒绝了你的密钥认证尝试。可能的原因包括：
     • 服务器上用户的 ~/.ssh 目录或 ~/.ssh/authorized_keys 文件权限不正确（必须是 700 和 600 或更严格）。
     • 公钥没有正确地添加到服务器上用户的 ~/.ssh/authorized_keys 文件中（可能是文件不存在、内容有误、有额外的换行或空格）。
     • 你在连接时使用了错误的用户名。
     • 服务器的 sshd_config 配置禁用了密钥认证 (PubkeyAuthentication no) 或其他相关的安全选项。
     • 你的私钥文件在本地的权限不正确（必须是 600）。
     • 你在连接时没有指定正确的私钥文件 (-i 选项)。
     • 如果你使用了 ssh-agent，但密钥没有成功添加到 agent 中，或者 agent 没有运行。
   • 解决方法：
     • 检查服务器上 ~/.ssh 目录和 authorized_keys 文件的权限。
     • 检查服务器上 authorized_keys 文件中的公钥是否完整且正确。
     • 确认连接时使用的用户名和私钥文件是否正确。
     • 检查服务器的 sshd_config 文件确保允许 PubkeyAuthentication。
     • 检查本地私钥文件的权限。
     • 使用 ssh -v user@remote_host 命令开启详细模式，查看 SSH 客户端的认证过程日志，这能提供很多有用的信息来定位问题。

2. 连接时仍然提示输入密码，而不是 Passphrase 或直接连接。

   • 原因： SSH 客户端没有找到可用的私钥或者没有成功使用私钥进行认证，退回到了密码认证方式（如果服务器允许密码认证）。
   • 解决方法：
     • 确认你的私钥文件存在且路径正确。
     • 如果使用了非默认文件名，确认连接时使用了 -i 选项指定了私钥文件。
     • 如果你的私钥设置了 Passphrase，并且你希望通过 ssh-agent 自动处理，确认 ssh-agent 正在运行，并且私钥已经成功添加到 ssh-agent 中 (ssh-add -l 查看)。
     • 检查服务器上公钥部署是否成功，参考上面的 Permission denied 故障排除。

3. ssh-copy-id 失败。

   • 原因：
     • 无法通过密码连接到服务器（可能是密码错误、用户不存在、防火墙阻止 SSH 端口）。
     • 服务器上的 ~/.ssh 目录或其父目录的所有者不是目标用户。
   • 解决方法：
     • 首先尝试使用 ssh user@remote_host 手动通过密码连接，确认基本连接是通畅的。
     • 检查服务器上目标用户主目录及 .ssh 目录的所有者和权限。

第十一部分：SSH 配置文件的使用 (~/.ssh/config)

对于需要频繁连接多个服务器或使用非标准配置的用户，SSH 配置文件 (~/.ssh/config) 是一个非常有用的工具。你可以在其中定义别名、指定特定主机的用户名、端口、私钥文件等。

文件位置：~/.ssh/config

示例：

“`
Host myserver
Hostname your_server_ip_or_domain
User your_username
Port 2222
IdentityFile ~/.ssh/id_work_server_rsa
IdentitiesOnly yes
ForwardAgent yes

Host github
Hostname github.com
User git
IdentityFile ~/.ssh/id_github_rsa

Host *
ForwardAgent yes
GSSAPIAuthentication no
PreferredAuthentications publickey,keyboard-interactive,password
“`

• Host myserver: 定义一个别名 myserver。
• Hostname: 指定实际的主机名或 IP 地址。
• User: 指定连接该主机时使用的用户名。
• Port: 指定连接端口。
• IdentityFile: 指定连接该主机时使用的私钥文件路径。
• IdentitiesOnly yes: 告诉 SSH 客户端只使用 IdentityFile 指定的密钥，不尝试其他默认密钥。
• ForwardAgent yes: 开启 SSH Agent Forwarding（允许在连接到中间服务器后再从中间服务器连接其他服务器时使用本地的 Agent）。
• Host *: 应用于所有未被其他 Host 规则匹配的主机。

使用配置文件后，连接就变得非常简单：

bash
ssh myserver
ssh github

ssh-copy-id 也可以识别配置文件中的设置：

bash
ssh-copy-id myserver # 会自动使用 config 中定义的 Hostname, User, Port, IdentityFile

结论

掌握 SSH 密钥认证和 ssh-keygen 工具是安全连接远程服务器的基石。通过生成一对公钥和私钥，并将公钥部署到服务器上，我们可以实现比传统密码认证更安全、更便捷的无密码登录。

本文详细介绍了：

• SSH 密钥认证的原理和优势。
• ssh-keygen 命令的基本和高级用法，包括选择密钥类型、长度、设置 Passphrase。
• 将公钥安全地部署到服务器的方法，特别是推荐的 ssh-copy-id 工具。
• 使用 ssh-agent 管理密钥和 Passphrase 以提高便捷性。
• 一系列重要的安全最佳实践，特别是禁用服务器上的密码认证和保护私钥。
• 常见的故障排除方法。
• 使用 SSH 配置文件简化连接。

SSH 密钥不仅用于服务器登录，也被广泛应用于版本控制系统（如 Git 通过 SSH 连接到 GitHub, GitLab, Bitbucket 等）、自动化脚本、文件传输（如 scp 和 sftp）等场景。掌握 SSH 密钥的使用，将极大地提升你的工作效率和网络安全。

现在，是时候告别脆弱的密码，拥抱强大而安全的 SSH 密钥认证了！立即打开你的终端，开始你的 SSH Keygen 之旅吧！

---