一、环境准备与SSH服务安装

1.1 主流Linux发行版安装包管理

在CentOS/RHEL 7+系统上，需通过yum包管理器安装核心组件：

sudo yum update -y
sudo yum install -y openssh-clients openssh-server ssh-copy-id

对于Ubuntu/Debian系统，则使用apt工具完成安装：

sudo apt update
sudo apt install -y openssh-client openssh-server ssh-copy-id

提示：建议安装完成后执行ssh -V验证版本，确保服务端和客户端版本一致以避免兼容性问题。

1.2 服务启动与开机自启配置

不同发行版的服务管理方式存在差异：

• CentOS/RHEL系统：

  sudo systemctl start sshd
  sudo systemctl enable sshd

• Ubuntu/Debian系统：

  sudo systemctl start ssh
  sudo systemctl enable ssh

  验证服务状态可通过systemctl status sshd（CentOS）或systemctl status ssh（Ubuntu）查看，确保输出中显示active (running)状态。

二、密钥对生成与安全配置

2.1 密钥生成最佳实践

在用户主目录执行以下命令生成RSA密钥对：

cd ~
ssh-keygen -t rsa -b 4096 -f ~/.ssh/id_rsa -C "auto_deploy_key" -N ""

参数说明：

• -t rsa：指定RSA算法类型
• -b 4096：使用4096位密钥长度（比默认2048位更安全）
• -C：添加注释信息便于识别
• -N ""：设置空密码短语实现无交互登录

生成的文件结构：

~/.ssh/
├── id_rsa       # 私钥文件（需严格保密）
└── id_rsa.pub   # 公钥文件（用于分发）

2.2 生产环境安全建议

1. 权限控制：

   chmod 700 ~/.ssh
   chmod 600 ~/.ssh/id_rsa
   chmod 644 ~/.ssh/id_rsa.pub

2. 密钥轮换策略：建议每90天更换密钥对，可通过cron任务实现自动化
3. 审计日志：配置/etc/ssh/sshd_config中的LogLevel VERBOSE记录详细登录信息

三、公钥分发方案对比

3.1 自动化工具方案（推荐）

使用ssh-copy-id工具自动完成公钥部署：

# 从A机器部署到B机器（192.168.0.2）
ssh-copy-id -i ~/.ssh/id_rsa.pub tinero@192.168.0.2

执行过程会自动：

1. 建立临时SSH连接
2. 创建目标用户~/.ssh/目录（如果不存在）
3. 将公钥追加到authorized_keys文件
4. 设置正确的文件权限

3.2 手动追加方案

适用于需要脚本化部署的场景：

# 从A机器执行
cat ~/.ssh/id_rsa.pub | ssh tinero@192.168.0.2 \
"mkdir -p ~/.ssh && chmod 700 ~/.ssh && \
cat >> ~/.ssh/authorized_keys && \
chmod 600 ~/.ssh/authorized_keys"

关键点：

• 使用mkdir -p避免目录不存在错误
• 显式设置目录和文件权限
• 通过管道直接追加内容

3.3 物理拷贝方案

适用于离线环境或特殊安全要求的场景：

1. 在源机器执行cat ~/.ssh/id_rsa.pub复制公钥内容
2. 通过安全介质传输到目标机器
3. 在目标机器执行：

   echo "粘贴的公钥内容" >> ~/.ssh/authorized_keys
   chmod 600 ~/.ssh/authorized_keys

四、生产环境优化配置

4.1 服务端安全加固

编辑/etc/ssh/sshd_config文件：

# 禁用密码认证
PasswordAuthentication no
# 禁用root登录
PermitRootLogin no
# 限制登录用户
AllowUsers tinero deployer
# 启用密钥认证
PubkeyAuthentication yes
# 设置空闲超时（秒）
ClientAliveInterval 300
ClientAliveCountMax 3

修改后执行sudo systemctl restart sshd使配置生效。

4.2 客户端优化配置

在~/.ssh/config中添加主机配置：

Host prod-server
    HostName 192.168.0.2
    User tinero
    IdentityFile ~/.ssh/id_rsa_prod
    ServerAliveInterval 60

实现效果：

• 简化的连接命令：ssh prod-server
• 自动选择指定私钥
• 保持连接活跃

五、常见问题排查

5.1 连接拒绝问题

1. 检查防火墙规则：

   sudo firewall-cmd --list-all | grep ssh  # CentOS
   sudo ufw status | grep ssh               # Ubuntu

2. 验证SELinux状态（CentOS）：

   getenforce  # 应显示Enforcing或Permissive

5.2 权限错误处理

典型错误表现：

Agent admitted failure to sign using the key.
Permission denied (publickey,gssapi-keyex,gssapi-with-mic).

解决方案：

1. 检查~/.ssh/目录权限是否为700
2. 确认authorized_keys文件权限为600
3. 验证文件所有者是否为当前用户

5.3 多密钥管理

当需要管理多个环境时：

1. 为不同环境生成独立密钥对
2. 在~/.ssh/config中配置Host别名
3. 使用ssh-add管理密钥缓存（避免频繁输入密码短语）

六、进阶应用场景

6.1 跳板机配置

通过ProxyJump实现多级跳转：

Host db-server
    HostName 10.0.0.10
    User dbadmin
    ProxyJump jump-host

6.2 自动化脚本集成

在Ansible playbook中配置SSH密钥：

- name: Deploy SSH key
  authorized_key:
    user: tinero
    key: "{{ lookup('file', '/path/to/public_key.pub') }}"
    state: present

6.3 密钥备份策略

建议实施3-2-1备份原则：

• 3份副本
• 2种存储介质
• 1份离线存储

可通过加密工具如GPG对私钥进行加密备份：

gpg -c ~/.ssh/id_rsa  # 创建加密备份

本文系统阐述了SSH免密登录从基础配置到生产优化的完整流程，通过对比不同部署方案的优劣，提供了适合各种场景的实施路径。实际运维中，建议结合监控系统建立SSH登录审计机制，定期检查异常登录行为，确保基础设施安全。对于大规模服务器集群，可考虑集成密钥管理服务实现集中化、自动化的密钥生命周期管理。