如何在服务器上添加客户端公钥,SSH免密登录怎么配置?

在服务器上添加客户端公钥的核心是通过将客户端生成的 .pub 公钥文件内容写入服务器目标用户家目录下的 .ssh/authorized_keys 文件中,从而利用非对称加密算法实现无需密码的身份验证。

为什么行业共识倾向于使用公钥认证替代密码登录

在运维实际场景中,依赖密码登录的服务器面临着极高的暴力破解风险,业内专家指出,针对 SSH 22 端口的自动化扫描攻击在公网环境下几乎是每秒都在发生。

linux配置ssh免密登录
加载中
linux配置ssh免密登录

密码登录与公钥认证的安全性对比

  • 密码登录:依赖于用户记忆的字符串,容易被弱口令攻击或通过截获流量(在未加密通道下)获取。
  • 公钥认证:基于 RSA 或 Ed25519 等非对称加密算法,私钥保存在客户端且永不传输,服务器仅持有公钥,即使公钥泄露,攻击者也无法在没有私钥的情况下伪造身份。

核心维度对比表

维度 密码登录 公钥认证 (SSH Key) 风险等级
验证机制 对比明文/哈希值 非对称加密签名验证 低 (公钥)
便捷程度 每次需手动输入 配置一次,永久免密 高 (效率)
破解难度 易受暴力破解/字典攻击 极难(需破解私钥) 极低
自动化支持 需第三方工具(如 expect) 原生支持脚本自动化 极高

Linux服务器添加SSH公钥步骤详解

实现免密登录的操作分为三个阶段:客户端生成密钥对、将公钥传输至服务器、验证连接。

如何在服务器上添加客户端公钥,SSH免密登录怎么配置?

客户端生成密钥对

在本地终端(Linux, macOS 或 Windows PowerShell)执行生成命令,目前行业推荐使用 Ed25519 算法,因为它比传统的 RSA 具有更高的安全性和更短的密钥长度。

  • 生成 Ed25519 密钥(推荐)
    ssh-keygen -t ed25519 -C "your_email@example.com"
  • 生成 RSA 密钥(兼容性强)
    ssh-keygen -rsa -b 4096 -C "your_email@example.com"

执行后,系统会提示保存路径,默认通常为 ~/.ssh/id_ed25519(私钥)和 ~/.ssh/id_ed25519.pub(公钥)。私钥必须严格保密,严禁上传至任何公共平台。

将公钥传输至服务器

传输公钥有两种主流方式,根据环境权限选择。

使用 ssh-copy-id 工具(最高效)

这是最推荐的自动化方式,它会自动处理目录创建和权限设置。

  • 执行命令
    ssh-copy-id -i ~/.ssh/id_ed25519.pub username@server_ip
  • 执行逻辑:该工具会通过密码登录服务器,在 ~/.ssh/ 目录下创建文件夹,并将公钥内容追加到 authorized_keys 文件末尾。

手动复制粘贴(适用于受限环境)

如果服务器禁用了 ssh-copy-id 或处于特殊安全区域,可采用手动方式。

  • 步骤 1:在本地查看公钥内容:
    cat ~/.ssh/id_ed25519.pub
  • 步骤 2:登录服务器,创建目录并写入:
    mkdir -p ~/.ssh
    echo "粘贴刚才复制的公钥内容" >> ~/.ssh/authorized_keys

Ubuntu服务器配置SSH公钥免密登录教程

在 Ubuntu 或 Debian 等系统中,除了传输公钥,还需要确保服务器端的 SSH 配置和文件权限正确,否则 SSH 服务会出于安全考虑拒绝使用密钥登录。

严格的文件权限设置

SSH 守护进程 sshd 对权限检查极其苛刻,如果权限过高(如组用户可写),认证将直接失效。

  • 用户家目录:权限不能为 777,建议

    如何在服务器上添加客户端公钥,SSH免密登录怎么配置?

    755700

  • .ssh 目录:必须设置为 700 (drwx------)。
  • authorized_keys 文件:必须设置为 600 (-rw-------)。

快速修复权限命令
chmod 700 ~/.ssh && chmod 600 ~/.ssh/authorized_keys

修改 sshd_config 配置文件

需要确保服务器允许公钥认证,编辑配置文件 /etc/ssh/sshd_config

  • 检查以下项是否为 yes
    PubkeyAuthentication yes
  • 禁用密码登录(在确认密钥生效后执行)
    PasswordAuthentication no
  • 禁用 root 直接登录(增强安全)
    PermitRootLogin prohibit-password

修改完成后,必须重启 SSH 服务使配置生效:
sudo systemctl restart ssh

ssh-copy-id命令失效怎么办

在实际操作中,经常会遇到 ssh-copy-id 报错或执行后依然要求输入密码的情况。

常见失效原因分析

  • 服务器禁用了密码认证:如果服务器已经设置了 PasswordAuthentication no,则 ssh-copy-id 无法通过密码登录去上传公钥。
  • 权限不匹配:服务器端的 .ssh 目录权限被错误设置为 777。
  • SELinux 拦截:在 CentOS/RHEL 系统中,SELinux 可能会阻止 SSH 读取非标准路径的密钥文件。

解决方案路径

  • 针对密码禁用:通过云平台控制台的 VNC 终端手动将公钥写入 authorized_keys
  • 针对权限问题:执行 chmod 700 ~/.ssh
  • 针对 SELinux:尝试执行 restorecon -Rv ~/.ssh 恢复默认安全上下文。

进阶安全加固与多密钥管理

对于管理多台服务器的开发者,单一的密钥对可能不足以满足隔离需求。

使用 SSH Config 管理多台服务器

在本地 ~/.ssh/config 文件中定义别名,避免每次输入长 IP 和指定密钥路径。

如何在服务器上添加客户端公钥,SSH免密登录怎么配置?

Host web-server HostName 1.2.3.4 User deploy IdentityFile ~/.ssh/id_ed25519_web Host db-server HostName 1.2.3.5 User admin IdentityFile ~/.ssh/id_ed25519_db

配置后,直接使用 ssh web-server 即可自动匹配对应的私钥登录。

公钥认证与密码登录哪个更安全

从加密强度来看,公钥认证在数学层面远超传统的密码验证,据统计,绝大多数针对 SSH 的攻击是通过尝试常见密码组合实现的,公钥认证将攻击面从“猜测字符串”转移到了“破解 256 位或 4096 位加密密钥”,在目前的计算能力下,后者几乎是不可能的。

行业共识认为,生产环境的服务器应当在完成公钥部署后,立即关闭密码登录功能,仅保留密钥认证,这是构建基础安全防线的底线要求。

在服务器上添加客户端公钥是提升运维效率与安全性的标准操作,其核心流程为:本地生成 Ed25519 密钥 $rightarrow$ 通过 ssh-copy-id 或手动方式将公钥写入服务器 authorized_keys $rightarrow$ 严格限制 .ssh 目录权限为 700 $rightarrow$ 关闭 sshd 密码认证

关于服务器添加客户端公钥的常见问题 Q&A

问:一个服务器用户可以添加多个客户端公钥吗?

答:可以。authorized_keys 文件支持多行存储,每行代表一个公钥,你可以将不同开发者的公钥依次追加到该文件中,服务器在验证时会依次匹配,只要客户端持有其中任何一个对应的私钥即可登录。

问:如果私钥丢失了,还能通过公钥登录吗?

答:不能,公钥仅用于验证,私钥用于签名,如果私钥丢失且服务器关闭了密码登录,你将彻底失去该用户的 SSH 访问权限,此时必须通过云平台控制台的救援模式或 VNC 终端登录,手动删除或更换 authorized_keys 中的公钥。

问:公钥和私钥在传输过程中可以互换吗?

答:绝对不可以,公钥(Public Key)是公开的,可以随意发送给任何服务器;私钥(Private Key)必须严格保存在本地且不被任何人知晓,如果将私钥上传至服务器,一旦服务器被攻破,攻击者将获得该私钥并能以此身份访问所有信任该私钥的其他服务器。

首发原创文章,作者:世雄 - 原生数据库架构专家,如若转载,请注明出处:https://idctop.com/article/488504.html

(0)
Fluent Python这本书值得读吗,Python进阶书籍推荐有哪些?
上一篇 2026年7月12日 20:11
网站cdn查询怎么做?如何快速检测网站正在使用的CDN服务商?
下一篇 2026年7月12日 20:13

相关推荐

  • 服务器长什么样?服务器配置怎么选

    服务器并非你想象中那个闪烁着霓虹灯的神秘黑盒子,它更像是一台被极致强化、全天候待命的超级计算机,通常以机架式形态整齐排列在恒温恒湿的数据中心里,负责处理从你打开网页到发送微信的所有后台运算任务,很多人对服务器的第一印象停留在电影里那种充满线缆、发出巨大轰鸣声的机房场景,现代数据中心早已实现了高度标准化和静音化……

    2026年7月6日
    15300
  • 大模型部署gRPC通信怎么做?gRPC服务性能优化方案

    大模型部署采用gRPC通信,能凭借二进制协议和HTTP/2特性,显著降低网络延迟并提升吞吐量,是构建高并发AI服务架构的行业首选方案,在人工智能应用落地的最后一公里,模型推理服务的响应速度直接决定了用户体验的上限,传统的RESTful API虽然易于调试,但在处理大模型这种高负载、长连接的场景时,往往显得力不从……

    2026年6月18日
    2300
  • 服务器租用及托管怎么选?国内服务器租用价格多少钱

    “服务器租用”和“服务器托管”是企业构建IT基础设施时最常见的两种模式,虽然它们的核心目的都是获得计算资源,但在所有权、维护责任、成本结构以及适用场景上有显著区别,以下是详细的对比分析与选择建议,帮助您做出决策:核心概念定义服务器租用 (Server Rental/Leasing)定义:您向IDC(互联网数据中……

    2026年7月9日
    16600
  • 非结构化数据库mysql是什么?mysql非结构化数据存储方案

    MySQL并非原生非结构化数据库,而是关系型数据库,但通过JSON数据类型及索引优化,它能高效处理半结构化数据,成为许多企业在2026年应对复杂业务场景的首选方案,在2026年的技术选型讨论中,经常有人问起MySQL能不能搞定非结构化数据,直接给结论:MySQL本身是关系型的,但它通过强大的JSON支持,已经能……

    2026年7月1日
    1400
  • 分布式缓存服务套餐怎么选?分布式缓存服务套餐价格

    分布式缓存服务(Distributed Cache Service)通常指基于 Redis 或 Memcached 等开源引擎构建的云原生缓存解决方案,不同的云服务商(如阿里云、腾讯云、AWS、华为云等)提供的套餐命名和计费模式略有不同,但核心逻辑相似,以下是一个通用的分布式缓存服务套餐分类指南,涵盖主要计费模……

    2026年7月12日
    3300
  • 昇思MindSpore AI大模型怎么用?昇思AI框架大模型教程

    昇思MindSpore作为华为打造的自主可控AI大模型框架,凭借其全场景算力适配、原生支持大模型训练以及开源开放的生态优势,已成为2026年企业构建高性能AI应用的首选底层技术基座,在人工智能从“能用”向“好用”、“易用”深度演进的2026年,开发者面临的最大挑战不再是算法理论的突破,而是如何将庞大的算力资源高……

    2026年6月15日
    2500
  • 服务器散列值与客户端计算为何不一致?如何验证文件完整性

    服务器散列值与客户端计算的核心在于通过哈希校验确保数据完整性,利用非对称加密或时间戳机制防止篡改,从而在分布式系统中实现高效且可信的数据同步与身份验证,在分布式架构和微服务盛行的今天,数据一致性是系统稳定的基石,当客户端发起请求或上传文件时,服务器如何确信收到的数据未被中间人篡改?答案往往隐藏在看似枯燥的散列值……

    2026年7月8日
    6300
  • 中国ai大模型评测

    2026年中国AI大模型评测的核心结论是:通用能力已趋同,胜负手在于垂直行业的落地深度、私有化部署的安全合规性以及全栈自研芯片的适配效率,随着人工智能技术从“炫技”阶段迈向“实干”阶段,企业和个人用户在选择大模型时,不再仅仅关注参数量的大小,而是更看重实际业务场景中的表现,2026年的市场格局已经发生了深刻变化……

    2026年6月12日
    3600
  • 服务器配置表怎么选?服务器配置参数详解

    服务器配置表并非简单的参数罗列,而是根据业务场景、流量预期及预算限制,在性能、稳定性与成本之间寻找最优解的系统化决策工具,为什么你需要一份精准的服务器配置表很多站长或运维新手在搭建网站时,往往陷入“配置越高越好”的误区,或者盲目追求低价导致线上频频崩溃,服务器配置表的核心价值在于“匹配”,它像是一份体检报告,精……

    2026年7月1日
    810
  • 大模型的Perplexity困惑度是什么?大模型Perplexity困惑度怎么计算

    大模型的Perplexity(困惑度)是衡量语言模型预测下一个词准确率的指标,数值越低代表模型对语言的掌握越精准,生成的内容逻辑越连贯、意外性越小,理解这个概念,不需要你是数学博士,只需要把它想象成“猜词游戏”的得分机制,当你读一段话时,如果每个词都顺理成章,困惑度就低;如果突然冒出个让你愣住的词,困惑度就飙升……

    2026年6月21日
    2500

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注