Rocky Linux系统SSH免密登录与网络配置全攻略

一、SSH免密登录配置全流程

1.1 密钥对生成与安全规范

在本地控制台执行以下命令生成RSA密钥对（推荐4096位增强安全性）：

ssh-keygen -t rsa -b 4096 -C "admin@example.com"

操作要点：

连续三次回车跳过密码设置（生产环境建议保持无密码状态）
密钥存储路径验证：
```
ls -l ~/.ssh/{id_rsa,id_rsa.pub}
```

权限校验：

chmod 600 ~/.ssh/id_rsa
chmod 644 ~/.ssh/id_rsa.pub

1.2 公钥分发双模式

模式一：自动化分发（推荐）

ssh-copy-id -i ~/.ssh/id_rsa.pub admin@192.168.1.100

优势：自动完成以下操作：

创建远程.ssh目录（权限700）
追加公钥到authorized_keys（权限600）
验证连接性

模式二：手动部署

# 传输公钥文件
scp ~/.ssh/id_rsa.pub admin@192.168.1.100:/tmp/
# 远程执行配置
ssh admin@192.168.1.100 << 'EOF'
mkdir -p ~/.ssh
cat /tmp/id_rsa.pub >> ~/.ssh/authorized_keys
chmod 600 ~/.ssh/authorized_keys
chmod 700 ~/.ssh
rm -f /tmp/id_rsa.pub
EOF

1.3 连接验证与性能调优

测试连接：

time ssh admin@192.168.1.100 "hostname"

正常响应时间应<500ms，若超时需检查：

网络延迟（建议使用内网IP）
DNS解析（在/etc/ssh/sshd_config中设置UseDNS no）
并发连接数限制（修改MaxStartups参数）

二、深度故障排查体系

2.1 权限三要素校验

执行以下诊断脚本：

#!/bin/bash
echo "=== 本地权限检查 ==="
ls -la ~/.ssh/id_rsa*
stat -c "%a %n" ~/.ssh/id_rsa ~/.ssh/id_rsa.pub
echo -e "\n=== 远程权限检查 ==="
ssh admin@192.168.1.100 "
stat -c \"%a %n\" ~/.ssh ~/.ssh/authorized_keys;
grep -v '^#' /etc/ssh/sshd_config | grep -E 'Pubkey|AuthorizedKeys'
"

典型问题案例：

authorized_keys权限为644导致认证失败
.ssh目录权限为755引发连接拒绝
用户家目录权限非755（需修正为drwx------）

2.2 SELinux强化配置

当出现Permission denied (publickey)错误时：

# 查看当前上下文
ls -Z ~/.ssh/
# 修复上下文（需root权限）
restorecon -Rv ~/.ssh
# 永久配置（可选）
semanage fcontext -a -t ssh_home_t "/home/.*/\.ssh(/.*)?"

2.3 服务端配置审计

关键配置项验证：

# /etc/ssh/sshd_config 必须包含
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys
StrictModes yes
# 安全增强配置（可选）
PermitRootLogin no
PasswordAuthentication no
ChallengeResponseAuthentication no

配置生效：

systemctl restart sshd
journalctl -u sshd -n 50 --no-pager

三、企业级网络配置方案

3.1 NetworkManager静态IP设置

通过nmcli工具配置：

# 查看当前连接
nmcli connection show
# 修改配置（示例）
nmcli connection modify "Wired connection 1" \
ipv4.method manual \
ipv4.addresses 192.168.1.100/24 \
ipv4.gateway 192.168.1.1 \
ipv4.dns "8.8.8.8,8.8.4.4" \
connection.autoconnect yes
# 激活配置
nmcli connection up "Wired connection 1"

3.2 传统配置文件法

编辑/etc/sysconfig/network-scripts/ifcfg-eth0：

TYPE=Ethernet
BOOTPROTO=none
NAME=eth0
DEVICE=eth0
ONBOOT=yes
IPADDR=192.168.1.100
PREFIX=24
GATEWAY=192.168.1.1
DNS1=8.8.8.8
DNS2=8.8.4.4

应用配置：

nmcli connection reload
systemctl restart NetworkManager

3.3 网络诊断工具集

连通性测试：
```
ping -c 4 8.8.8.8
traceroute 8.8.8.8
```
端口监听检查：
```
ss -tulnp | grep sshd
```
防火墙规则验证：
```
firewall-cmd --list-all | grep ssh
```

四、自动化运维脚本

提供生产环境部署脚本模板：

#!/bin/bash
# 参数说明：$1=远程IP $2=用户名
# 本地密钥检查
[ ! -f ~/.ssh/id_rsa ] && ssh-keygen -t rsa -b 4096 -N "" -f ~/.ssh/id_rsa
# 公钥分发
if command -v ssh-copy-id &> /dev/null; then
  ssh-copy-id -i ~/.ssh/id_rsa.pub "$2@$1"
else
  echo "手动部署模式..."
  # 手动部署逻辑...
fi
# 远程安全加固
ssh "$2@$1" "
sudo sed -i 's/^#PubkeyAuthentication/PubkeyAuthentication/' /etc/ssh/sshd_config
sudo sed -i 's/^#AuthorizedKeysFile/AuthorizedKeysFile/' /etc/ssh/sshd_config
sudo systemctl restart sshd
"
echo "配置完成，请测试连接：ssh $2@$1"

五、最佳实践建议

密钥轮换机制：每90天重新生成密钥对，旧密钥保留30天过渡期
访问控制强化：
- 结合/etc/hosts.allow和/etc/hosts.deny限制访问源
- 使用AllowUsers/DenyUsers进行用户级控制

审计日志监控：

# 实时监控登录事件
journalctl -fu sshd | grep 'Accepted publickey'

多因素认证：在关键系统部署Google Authenticator等双因素认证方案

本文提供的配置方案已在多个企业级生产环境验证，可有效提升Linux服务器的安全性和运维效率。建议结合具体业务场景进行参数调优，并定期进行安全审计。