SSH免密登录的5种姿势，总有一种适合你

用户8589624

发布于 2025-11-16 10:20:15

4030

文章被收录于专栏：nginxnginx

SSH免密登录的5种姿势，总有一种适合你

大家好，我是你们的Linux老司机小王。今天我们来聊聊一个让运维和开发人员又爱又恨的话题——SSH免密登录。

每次输入密码太麻烦？服务器太多记不住密码？自动化脚本需要免密执行？别担心，今天我就给大家带来SSH免密登录的5种姿势，保证总有一种适合你！

姿势一：经典公钥认证（新手必备）这是最经典、最常用的SSH免密登录方式，适合刚入门的小白。

操作步骤：

在本地生成密钥对： ssh-keygen -t rsa -b 4096 （一路回车即可，如果想加密码保护可以设置passphrase）
将公钥上传到服务器： ssh-copy-id user@remote-server
测试登录： ssh user@remote-server 原理揭秘： • 生成了id_rsa(私钥)和id_rsa.pub(公钥) • 公钥被放到了服务器的~/.ssh/authorized_keys文件中 • 登录时，客户端用私钥签名，服务器用公钥验证适用场景： • 个人电脑连接服务器 • 少量服务器的管理姿势二：多密钥管理（花心大萝卜专属）如果你像我一样是个"花心大萝卜"，不同的服务器用不同的密钥，那么这个姿势适合你。

生成专门用于某服务器的密钥

ssh-keygen -t ed25519 -f ~/.ssh/work_rsa -C “for work servers”

配置~/.ssh/config

Host work-server HostName server.example.com User workuser IdentityFile ~/.ssh/work_rsa IdentitiesOnly yes 高级技巧： • 使用IdentitiesOnly yes避免SSH尝试所有密钥 • 可以为不同环境（生产、测试）配置不同密钥适用场景： • 需要区分个人和工作环境 • 不同项目使用不同密钥 • 安全等级要求不同的服务器姿势三：SSH Agent（懒人福音）如果你觉得每次都要指定密钥太麻烦，或者设置了passphrase不想每次都输入，SSH Agent来拯救你！

启动agent

eval “$(ssh-agent -s)”

添加密钥

ssh-add ~/.ssh/id_rsa

查看已添加密钥

ssh-add -l 小技巧： • 可以添加到.bashrc或.zshrc自动启动 • macOS用户可以使用Keychain集成： ssh-add -K ~/.ssh/id_rsa 适用场景： • 使用passphrase保护密钥但又不想频繁输入 • 需要同时使用多个密钥姿势四：证书认证（企业级玩家）前面的方法在企业环境中可能不够用，特别是服务器很多的时候。这时候就需要证书认证了。

操作步骤：

创建CA密钥： ssh-keygen -t rsa -b 4096 -f ca_key
签署用户公钥： ssh-keygen -s ca_key -I “user_identity” -n user1,user2 id_rsa.pub
服务器配置：

/etc/ssh/sshd_config

TrustedUserCAKeys /etc/ssh/ca_key.pub 优势： • 吊销证书只需更新CA • 不需要在所有服务器上维护authorized_keys • 可以设置证书有效期适用场景： • 企业环境 • 大量服务器管理 • 需要集中管控权限姿势五：ProxyJump（套娃高手）有时候我们需要通过跳板机访问内网服务器，这时候ProxyJump就派上用场了。

直接连接

ssh -J jumpuser@jumpserver:port targetuser@targetserver

或者配置~/.ssh/config

Host targetserver HostName targetserver.internal User targetuser ProxyJump jumpuser@jumpserver 高级玩法： • 可以多层跳转：-J user1@host1,user2@host2 • 结合前面的密钥认证使用更香适用场景： • 需要通过堡垒机访问 • 复杂网络环境 • 安全隔离的网络区域安全小贴士在享受便利的同时，别忘了安全：