Linux如何配置SSH免密钥登录-解决依然需要密码的问题

在服务器管理、自动化脚本部署以及日常开发工作中，频繁地通过SSH（Secure Shell）连接到远程Linux服务器是家常便饭，每次连接都输入密码不仅繁琐，降低了工作效率，而且在自动化场景下（如使用Ansible、Jenkins等）更是不可行的障碍，配置SSH免密登录，即基于密钥的认证方式，便成为了一项必备的核心技能，它不仅提升了便捷性，相较于传统密码认证，也提供了更强的安全保障，本文将详细介绍如何一步步配置Linux免密登录，并探讨其背后的原理与常见问题。

理解SSH免密登录的基本原理

SSH免密登录的核心技术是“非对称加密”，它使用一对密钥：公钥和私钥。

其认证过程如下：当你尝试通过SSH连接远程服务器时，服务器会用它保存的你的公钥加密一个随机字符串，并发送给你的本地计算机，你的本地计算机使用私钥对这个字符串进行解密，并将结果发回服务器，如果服务器验证返回的结果正确，就证明你拥有匹配的私钥，从而允许你登录，整个过程无需传输密码。

第一步：在本地客户端生成SSH密钥对

如果这是你第一次设置,需要先在本地计算机（你的工作机）上生成密钥对，打开终端，执行以下命令：

ssh-keygen -t rsa -b 4096 -C "your_email@example.com"

这条命令的含义是：

执行后,终端会提示你选择保存密钥的文件位置，默认是 /home/your_user/.ssh/id_rsa ，直接按回车键即可，它会要求你输入一个“passphrase”（密码短语）。

是否设置密码短语？

对于自动化脚本,通常不设置密码短语，对于日常手动登录，建议设置以增强安全性。

第二步：将公钥复制到远程服务器

生成密钥对后,目录下会出现两个文件：（私钥）和 id_rsa.pub （公钥），接下来的任务是将公钥 ( id_rsa.pub ) 的内容添加到远程服务器的 ~/.ssh/authorized_keys 文件中。

使用 ssh-copy-id 命令（推荐）

这是最简单、最安全的方法，它会自动处理文件权限等问题，在本地终端执行：

ssh-copy-id user@remote_host_ip

执行后,系统会提示你输入远程服务器的登录密码，验证通过后， ssh-copy-id 会自动将你的公钥追加到远程服务器的 ~/.ssh/authorized_keys 文件末尾，并设置正确的文件和目录权限。

手动复制粘贴

如果本地没有 ssh-copy-id 命令，可以手动操作。

权限说明 ：目录权限必须是， authorized_keys 文件权限必须是，权限过于宽松会导致SSH安全机制拒绝使用密钥登录。

下表对比了两种方法的优劣：

第三步：测试免密登录

完成上述步骤后,断开与远程服务器的连接，然后再次尝试登录：

ssh user@remote_host_ip

如果一切顺利,你将无需输入任何密码，直接成功登录到远程服务器的Shell环境中，如果之前为密钥设置了密码短语，此时会提示你输入该短语。

相关问答FAQs

免密登录安全吗？它和传统的密码认证相比哪个更安全？ 答：在正确配置的前提下，SSH免密登录（基于密钥的认证）远比传统的密码认证更安全，公钥加密算法的强度远高于人类记忆和设置的密码，有效抵御了暴力破解攻击，私钥从不离开你的本地计算机，网络上传输的只是经过公钥加密的挑战信息，避免了密码在传输过程中被窃听的风险，只要你确保私钥文件的安全（例如不泄露、设置强密码短语），这种方式的安全性是极高的。

我为我的私钥设置了密码短语，这不还是需要输入“密码”吗？它有什么用？ 答：这是一个非常好的问题，这里的“密码短语”和服务器“登录密码”是两个层面的概念，登录密码是用于验证用户身份，它在网络上进行（通常是加密的）传输；而私钥的密码短语是用于保护你本地存储的私钥文件本身，它的作用是：即使攻击者通过某种手段窃取了你的私钥文件（如偷走了你的笔记本电脑），没有这个密码短语，他依然无法使用你的私钥来进行身份认证，为了兼顾安全与便利，可以使用来管理你的私钥，你只需在登录本地系统时输入一次密码短语，就会在后台为你“它，在当前会话中后续的SSH连接都将自动使用密钥，无需重复输入密码短语。

如何设置默认引导 UBUNTU

第一种方法：运行sudogedit/etc/default/grub输入密码将GRUB_DEfault=0改为GRUB_DEFAULT=4（如果没做过其他设置，即启动时win7为第5项。 可根据自己情况更改）然后运行sudoupdate-grub第二种方法：sudochmod+w/boot/grub/(赋予该文件写权限）sudogedit/boot/grub/将setdefault=0改为setdefault=4(第一种运行sudoupdate-grub后也是修改该文件，不过这样修改升级时会恢复为默认）。 最好在运行sudochmod-w/boot/grub/（取消该文件写权限）第三种方法：sudomv/etc/grub.d/30_os-prober/etc/grub.d/06_os-prober(可以改为06～09任意值，加载时按数字顺序加载/etc/grub.d中的文件）然后运行sudoupdate-grub(这样启动时win7在第一项，如果安装了多个内核也还是默认win7，前两种如果安装了多个内核win7的位置会有改变）

用xshell远程连接linux服务器时对服务器有什么要求

首先要能ping通linux服务器，然后linux服务器要开ssh服务，linux不需要安装就有这个服务的。 下面是Linux的ssh的设置方法：首先要修改ssh的配置文件sshd_config，输入命令：vi /etc/ssh/sshd_config2. 在这个文件中，将PermitRootLogin WITHout-password这一行修改为PermitRootLogin yes，这一行的意思是“允许root用户用ssh登录”。 再去掉#PasswordAuthentication no这一行的注释符号#，并把no改为yes，表示用ssh登录时需要密码认证。 3. 修改完配置文件后就可以启动SSH服务了，启动命令为：/etc/init.d/ssh start4. 如果不想每次启动linux后都要启动ssh服务的话，需要设置ssh开机自启动，命令是：update-rc.d ssh enable或者chkconfig ssh on

如何通过ssh远程登录linux系统

1、使用用户名密码登录在命令行中输入命令：ssh username@ip_address -p port之后系统会提示输入密码，输入后即可登录如果不添加-p选项，则默认是22端口还可以使用-l选项输入用户名：ssh -l username ip_address -p port2、使用密钥登录（不使用密码）首先生成密钥，在任意目录下输入命令：ssh-keygen -t rsa -P -P表示密码，-P 表示空密码之后系统会提示输入生成的密钥文件的文件名，可以输入任意名称，比如id_rsa，回车系统会在当前目录下生成id_rsa与id_两个文件在根目录下新建文件夹，将生成的密钥文件拷贝过去mkdir -p ~/-p选项表示如果文件夹已经存在则不再新建。 然后将之前生成的两个文件都拷贝到文件夹中cp id_rsa* ~//把公钥文件id_拷贝到需要登录的服务器上用scp命令scp -P port ~//id_ username@ip_address:~-P表示要登录服务器的端口好，不加默认为22。 之后系统会提示输入密码，输入即可完成拷贝登录远程服务器，在用户根目录下新建文件夹（如果不存在），在其中新建authorized_keys文件（如果不存在），把id_添加到authorized_keys文件中mkdir -p ~/这是在远程服务器上新建ssh文件夹cat id_ >> /authorized_keys将id_文件添加到authorized_keys文件中（如文件不存在则新建）注意：要保证与authorized_keys用户自己都有写权限退出当前远程登录，之后就可以不使用密码远程登录了