在使用SSH客户端登录服务器时,如何处理密钥认证?
美国、香港服务器
在使用SSH客户端登录服务器时,如何处理密钥认证?
08-20 来源:
在使用 SSH 客户端通过密钥认证登录服务器时,核心是通过公钥 - 私钥对实现认证(无需输入密码,更安全)。以下是详细步骤,适用于手机 SSH 客户端(如 Termius、JuiceSSH 等):
一、前提:服务器已配置密钥认证
首先确保服务器端已正确 SSH 密钥认证配置(若未配置,需先在服务器上完成):
在服务器上创建 ~/.ssh 目录(权限 700)。
在 ~/.ssh/authorized_keys 文件中添加客户端的公钥(权限 600)。
若没有公钥,需先在客户端生成密钥对(手机或电脑上均可)。
二、手机 SSH 客户端密钥认证步骤
1. 准备密钥对
情况 1:已有密钥对(如在电脑上生成过,或服务器提供):
需获取私钥文件(通常是 id_rsa 或自定义名称,无扩展名),确保格式为 OpenSSH 格式(非 PuTTY 的 .ppk 格式,若为 .ppk 需转换)。
私钥需妥善保存(如通过云盘、邮件传输到手机,避免泄露)。
情况 2:无密钥对,需在手机上生成:
打开 SSH 客户端(以 Termius 为例),进入 “密钥” 或 “Keys” 菜单,选择 “生成新密钥”。
算法选 RSA 或 ED25519(推荐后者,更安全),密钥长度默认即可(RSA 2048/4096,ED25519 256)。
生成后会得到公钥(可复制到服务器 authorized_keys)和私钥(客户端自动保存)。
2. 在手机 SSH 客户端导入 / 关联私钥
以 Termius 和 JuiceSSH 为例:
Termius 操作:
打开 Termius,点击底部 “密钥”(Keychain)。
点击右上角 “+”,选择 “导入密钥”(已有私钥)或 “生成新密钥”(新建)。
导入时选择手机中的私钥文件(如从文件管理器中选取),若有密码(密钥加密)需输入。
给密钥命名(如 “my_server_key”),保存。
JuiceSSH 操作:
打开 JuiceSSH,进入 “身份”(Identities)标签。
点击 “+”,选择 “SSH 密钥”。
选择 “导入现有密钥” 或 “生成新密钥”,按提示操作(导入时需找到私钥文件路径)。
3. 配置服务器连接并关联密钥
在客户端添加服务器连接:
输入服务器 IP 地址、端口(默认 22)、用户名(如 root 或自定义用户)。
认证方式选择 “密钥” 或 “Public Key”:
在 “密钥” 选项中,选择之前导入 / 生成的私钥。
保存连接,点击连接即可完成密钥认证登录。
三、常见问题处理
1. 密钥格式错误
症状:客户端提示 “invalid key format” 或无法识别密钥。
解决:确保私钥是 OpenSSH 格式(开头为 -----BEGIN RSA PRIVATE KEY----- 或 -----BEGIN ED25519 PRIVATE KEY-----)。
若为 PuTTY 的 .ppk 格式,需用 PuTTYgen 转换为 OpenSSH 格式(“Conversions → Export OpenSSH key”)。
2. 服务器拒绝密钥
症状:“Permission denied (publickey)”。
排查:
服务器 ~/.ssh/authorized_keys 是否正确添加了对应公钥(公钥需完整,无多余空格 / 换行)。
服务器 ~/.ssh 目录权限是否为 700,authorized_keys 权限是否为 600(权限过松会被 SSH 拒绝)。
bash
chmod 700 ~/.ssh
chmod 600 ~/.ssh/authorized_keys
客户端私钥是否与服务器公钥匹配(可通过 ssh-keygen -y -f 私钥文件 生成公钥,与服务器对比)。
3. 密钥有密码(Passphrase)
若生成密钥时设置了密码(推荐),首次使用该密钥连接时,客户端会提示输入密码,验证通过后登录。
四、安全建议
私钥妥善保管,不要传输到不可信设备,手机端尽量设置应用锁。
优先使用 ED25519 算法生成密钥(比 RSA 更安全且密钥文件更小)。
服务器端禁用密码登录,仅允许密钥认证(修改 /etc/ssh/sshd_config,设置 PasswordAuthentication no,重启 sshd 服务)。
通过以上步骤,即可在手机 SSH 客户端实现安全的密钥认证登录,避免频繁输入密码且提升安全性。
三二互联专业提供香港VPS,美国VPS主机,香港云服务器租用等业务香港美国到大陆CN2 GIA速度最快
