密钥#

生成方法#

使用OpenSSH,几乎预装在所有操作系统里

1
ssh-keygen -t ed25519
2
-t 指定算法ed25519、rsa4096、rsa2048
3
-C 注释"用途、角色、邮箱"
4
-N 密码"password"

用途#

每次ssh，客户端和服务端都会生成一个临时的公钥和私钥
服务端会在/etc/ssh中生成持久的服务端公钥和私钥，一个服务器一个
客户端可以选择生成密钥来登录服务器
还有数不胜数的密钥被广泛用于各种服务。比如wireguard，github……

管理方法#

文件结构#

1
~/.ssh/
2
├── id_ed25519          # 主密钥（个人通用）
3
├── id_ed25519.pub      # 公钥
4
├── id_ed25519_github   # GitHub专用
5
├── id_ed25519_work     # 工作专用
6
├── id_ed25519_prod     # 生产环境专用
7
├── config              # SSH配置文件
8
├── known_hosts         # 已知主机
9
└── authorized_keys     # 服务器端：允许的客户端密钥

ssh config#

1
# 全局默认（最常用的密钥）
2
Host *
3
    AddKeysToAgent yes
4
    UseKeychain yes
5
    IdentityFile ~/.ssh/id_ed25519  # 主密钥
6

7
# GitHub - 使用专用密钥
8
Host github.com
9
    HostName github.com
10
    User git
11
    IdentityFile ~/.ssh/id_ed25519_github
12
    IdentitiesOnly yes  # 重要：只用这个密钥

SSH连接#

用ssh连接的方法很简单

1
ssh <用户名>@<地址>

SSH认证服务器#

第一次连接服务器的时候会问你服务器的公钥指纹对错

1
#比如
2
ED25519 key fingerprint is SHA256:cZlatvBz9Hdxd7G7aLV8cDSQKlCqdLY0dHLCwH8vFyA.
3
This key is not known by any other names.
4
Are you sure you want to continue connecting (yes/no/[fingerprint])?

需要事先在安全的环境下，比如说在服务器物理机上看一下服务器的公钥的指纹比如说这个就是用ED25519算法的公钥指纹，这个指纹其实就是对这个公钥进行哈希运算。

1
ssh-keygen -lf /etc/ssh/ssh_host_ed25519_key.pub

Yes#

如果公钥指纹和你在物理机上看到的公钥指纹一样，那么你的这次ssh连接就没有连接到错误的服务器上可以选择yes

✅ 信任这个指纹
✅ 保存到 ~/.ssh/known_hosts
✅ 以后连接自动验证
✅ 如果指纹变化会警告

No#

如果不是一样的，一定要选择no，不能在不信任的机器上输入密码等敏感操作

fingerprint#

你可以手动把你在物理机上知道的服务器公钥输入进去，如果相同那么就yes，不相同no

SSH认证客户端#

有密码、密钥的方式认证登录的用户

密钥#

服务端#

事先需要在服务器上，登录的用户的~/.ssh/authorized_keys里把客户端生成的公钥,每行一个。

1
[密钥类型] [base64编码的公钥] [注释]
2
        ↓           ↓                 ↓
3
     ssh-rsa   AAAAB3Nza...      user@client
4
     ssh-ed25519 AAAAC3Nza...    device-name

1
chmod 700 ~/.ssh # rwx权限
2
chmod 600 ~/.ssh/authorized_keys #rw权限

客户端#

然后在客户端的~/.ssh/config里配置

1
Host [别名] #可以使用*通配符
2
    HostName <ip,域名>
3
    IdentityFile ~/.ssh/<私钥文件>
4
    User <用户名>
5
    Port <端口>

1
ssh <别名> #就等价于`ssh -i ~/.ssh/<私钥文件> -l <用户名> -p <端口> <ip,域名>`,
2
ssh user@IP #等价于：ssh -l user IP
3
#如果没有指明私钥的路径，ssh会尝试：
4
# 1. 默认密钥（~/.ssh/id_*）
5
# 2. 如果没有匹配的密钥，就降级到密码
6
#如果密钥生成的时候还有密码的话可能会提示你输入密码。

密码#

就是最普通的登录方式

ssh配置#

/etc/ssh/sshd_config，ssh配置文件的路径。比较重要的配置项

1
PasswordAuthentication no          # 禁用密码认证
2
PubkeyAuthentication yes           # 启用公钥认证
3
PermitRootLogin no                 # 禁止root登录
4
AllowUsers yourusername            # 允许哪些用户登录
5
Port 2222                          # 修改端口
6

7
sudo systemctl restart sshd        # 重启ssh服务

SSH发送文件#

1. scp命令（最常用）#

1
# 基本语法
2
scp [选项] 源文件 用户名@主机名:目标路径
3

4
# 示例：
5
# 上传本地文件到远程
6
scp file.txt user@remote-host:/home/user/
7
scp -r /local/folder user@remote-host:/remote/path/  # 传输整个目录
8

9
# 从远程下载到本地
10
scp user@remote-host:/path/to/file.txt ./local/path/

2. rsync命令（支持增量传输、断点续传）#

1
# 基本语法
2
rsync [选项] 源文件 用户名@主机名:目标路径
3

4
# 示例：
5
rsync -avz file.txt user@remote-host:/home/user/
6
rsync -avz --progress /local/folder/ user@remote-host:/remote/folder/
7
# -a: 归档模式（保留权限等）
8
# -v: 显示详情
9
# -z: 压缩传输
10
# --progress: 显示进度

3. sftp命令（交互式文件传输）#

1
# 启动sftp会话
2
sftp user@remote-host
3

4
# 在sftp会话中的常用命令：
5
put local-file.txt          # 上传文件
6
put -r local-folder/        # 上传目录
7
get remote-file.txt         # 下载文件
8
cd /remote/path             # 切换远程目录
9
lcd /local/path             # 切换本地目录
10
ls                          # 列出远程文件
11
lls                         # 列出本地文件
12
exit                        # 退出