
1. SSH密钥对基础概念第一次接触SSH密钥对时我完全被公钥和私钥这两个术语搞晕了。后来发现理解它们其实有个很简单的比喻想象公钥是一把特殊的锁私钥就是唯一能打开这把锁的钥匙。你可以把锁公钥随便发给别人但钥匙私钥必须牢牢保管在自己手里。SSHSecure Shell密钥对实际上是由两个数学上关联的文件组成私钥相当于你的数字身份证必须严格保密公钥可以自由分发用来验证私钥持有者的身份这种机制比传统密码安全得多因为不再需要记忆复杂密码完全免疫暴力破解支持自动化操作比如定时备份可以设置多因素认证密钥密码短语我管理着二十多台服务器全部采用密钥认证后再也不用担心密码泄露问题。有一次团队成员的密码被暴力破解但因为启用了密钥登录黑客依然无法入侵。2. 生成SSH密钥对2.1 检查现有密钥在生成新密钥前建议先检查是否已有现成的密钥。这个步骤很多教程会忽略但非常重要——覆盖现有密钥可能导致服务中断。ls -al ~/.ssh正常应该看到类似这样的输出total 24 drwx------ 2 user user 4096 Jun 15 10:30 . drwxr-xr-x 18 user user 4096 Jun 15 10:30 .. -rw------- 1 user user 2610 Jun 15 10:30 id_rsa -rw-r--r-- 1 user user 580 Jun 15 10:30 id_rsa.pub如果看到id_rsa和id_rsa.pub或者id_ed25519开头的文件说明已经存在密钥对。2.2 生成新密钥现在主流的密钥类型有两种选择RSA兼容性最好推荐2048位以上Ed25519更安全高效但旧系统可能不支持生成Ed25519密钥推荐ssh-keygen -t ed25519 -C your_emailexample.com生成4096位RSA密钥兼容旧系统ssh-keygen -t rsa -b 4096 -C your_emailexample.com执行后会提示保存路径直接回车用默认位置设置密码短语建议设置增加安全性确认密码短语注意密码短语是可选的但强烈建议设置。即使私钥被盗没有密码短语也无法使用。3. 密钥管理最佳实践3.1 密码短语管理我见过太多人因为怕麻烦不设密码短语结果私钥泄露导致严重安全事故。其实可以用ssh-agent解决频繁输入的问题# 启动ssh-agent eval $(ssh-agent -s) # 添加私钥到agent ssh-add ~/.ssh/id_ed25519在Mac上更简单ssh-add --apple-use-keychain ~/.ssh/id_ed25519这样密码短语会保存在钥匙串中后续无需重复输入。3.2 多密钥管理当需要管理多个服务时建议为不同用途创建独立密钥ssh-keygen -t ed25519 -f ~/.ssh/github_ed25519 ssh-keygen -t ed25519 -f ~/.ssh/work_ed25519然后创建~/.ssh/config文件管理不同配置Host github.com HostName github.com User git IdentityFile ~/.ssh/github_ed25519 Host work-server HostName 203.0.113.1 User admin IdentityFile ~/.ssh/work_ed25519 Port 22224. 部署公钥到各平台4.1 部署到Linux服务器最常用的场景操作步骤复制公钥到剪贴板cat ~/.ssh/id_ed25519.pub | pbcopy # Mac cat ~/.ssh/id_ed25519.pub | xclip -sel clip # Linux登录目标服务器确保~/.ssh目录存在mkdir -p ~/.ssh chmod 700 ~/.ssh添加公钥到授权列表echo 粘贴的公钥内容 ~/.ssh/authorized_keys chmod 600 ~/.ssh/authorized_keys实测发现如果authorized_keys文件权限太开放SSH会拒绝使用它。所以务必设置600权限。4.2 部署到GitHub/Gitee登录GitHub → Settings → SSH and GPG keys点击New SSH key标题建议用设备名服务名格式如MacBook-ProGitHub粘贴公钥内容以ssh-ed25519或ssh-rsa开头Gitee操作类似登录后进入设置-SSH公钥添加公钥时建议备注使用设备信息4.3 部署到Azure/AWSAzure CLI可以直接生成并部署密钥az vm create \ --name myVM \ --resource-group myResourceGroup \ --image UbuntuLTS \ --generate-ssh-keys \ --ssh-key-name myAzureKeyAWS EC2在创建实例时可以在Key Pair步骤选择Import existing public key。5. 高级应用场景5.1 使用密钥进行Git操作配置Git使用指定密钥git config --global core.sshCommand ssh -i ~/.ssh/github_ed25519 -F /dev/null或者针对特定仓库git config core.sshCommand ssh -i ~/.ssh/work_ed255195.2 端口转发通过SSH隧道安全访问内网服务ssh -i ~/.ssh/work_ed25519 -L 3306:localhost:3306 userserver这个命令将服务器的3306端口映射到本地的3306端口适合临时访问数据库。5.3 批量部署密钥使用ssh-copy-id工具快速部署ssh-copy-id -i ~/.ssh/id_ed25519.pub userserver如果需要批量操作可以结合for循环for server in server1 server2 server3; do ssh-copy-id -i ~/.ssh/id_ed25519.pub admin$server done6. 故障排查技巧6.1 连接失败常见原因权限问题chmod 700 ~/.ssh chmod 600 ~/.ssh/authorized_keysSELinux限制CentOS/RHELrestorecon -Rv ~/.ssh服务未启动sudo systemctl restart sshd6.2 调试模式添加-v参数查看详细日志ssh -v -i ~/.ssh/id_ed25519 userserver三级详细日志最多信息ssh -vvv userserver6.3 密钥指纹验证检查远程服务器指纹ssh-keyscan server | ssh-keygen -lf -与自己保存的指纹对比防止中间人攻击。7. 安全增强措施禁用密码登录配置后务必测试密钥登录正常sudo sed -i s/#PasswordAuthentication yes/PasswordAuthentication no/ /etc/ssh/sshd_config sudo systemctl restart sshd限制root登录echo PermitRootLogin no | sudo tee -a /etc/ssh/sshd_config使用Fail2Ban防护sudo apt install fail2ban sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local定期轮换密钥ssh-keygen -p -f ~/.ssh/id_ed25519记得更新所有部署过公钥的地方。