ssh配置免密码登录至Linux—已配置密钥仍无法登陆等问题

SSH连接免密码登录配置

方法一：手动复制公钥至服务器

1. ssh-keygen -t rsa 在客户端生成密钥对
2. 把公钥拷贝给要登录的目标主机，手动复制粘贴
3. 目标主机上将这个公钥加入到授权列表 cat id_rsa.pub >>authorized_keys
4. 目标主机还要将这个授权列表文件权限修改为 600 , chmod 600 authorized_keys
5. 在用户目录下即 ~ 执行以下步骤：
   1. rm -rf .ssh/ # 会删除已有的密钥，谨慎删除
   2. ssh-keygen -t rsa
   3. cat .ssh/id_rsa.pub >> .ssh/authorized_keys
   4. chmod 700 .ssh
   5. chmod 600 .ssh/authorized_keys

这种方法容易出错，推荐使用方法二

方法二：在本地主机（客户端）上生成密钥对，使用 ssh-copy-id 将公钥复制到远程服务器中

1. 在本地机器上使用 ssh-keygen 产生公钥私钥对
2. 用 ssh-copy-id 将公钥复制到远程机器中。默认: ssh-copy-id 会将Public Key写到远程机器的 ~/.ssh/authorized_key 文件中
3. ssh-copy-id 需要输入密码；第一次连接需要输入 yes 同意连接
4. 以后登录到服务器都不用输入密码啦

上述步骤对应命令如下：

$ ssh-keygen # -t rsa 指定RSA加密算法
Generating public/private rsa key pair.
Enter file in which to save the key (/Users/yan/.ssh/id_rsa): /Users/yan/.ssh/login2bwg  # 指定密钥保存路径
Enter passphrase (empty for no passphrase): # 直接回车就行
Enter same passphrase again: # 再次回车
Your identification has been saved in /Users/yan/.ssh/login2bwg. # 刚才指定的密钥路径就是私钥文件的路径
Your public key has been saved in /Users/yan/.ssh/login2bwg.pub. # .pub结尾的是私钥所对应的公钥
The key fingerprint is:
SHA256:1cK3jNxBM/9Kx5mSqyMl+w8BPzJpxIZL3cVNO380SfE yan@Mac-mini.local
The key's randomart image is:
+---[RSA 3072]----+
|            =.o+.|
|        +..o.=..+|
|       o *+.+ .=E|
|      . +o+* o.+*|
|       .S=o++o.o*|
|        ..o.o.oo.|
|          +. ..  |
|         o .o    |
|          ooo.   |
+----[SHA256]-----+
$ ssh-copy-id -i ~/.ssh/login2bwg.pub root@2001:470:c:1ab0::2 -p 26885 # 将公钥复制到远程服务器的root用户目录
/usr/bin/ssh-copy-id: INFO: Source of key(s) to be installed: "/Users/yan/.ssh/login2bwg.pub"
/usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed
/usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys
root@2001:470:c:1ab0::2's password: # 需要输入服务器密码

Number of key(s) added:        1

Now try logging into the machine, with:   "ssh -p '26885' 'root@2001:470:c:1ab0::2'"
and check to make sure that only the key(s) you wanted were added.

$ ssh -p 26885 root@2001:470:c:1ab0::2
root@2001:470:c:1ab0::2's password: # 这里遇到了问题，仍然要求输入密码才能登录。服务器端没有配置开启密钥登录，看下文的方法进行配置。

无法将公钥复制添加到服务器 ~/.ssh/authorized_keys 文件中

问题描述：
在执行 cat id_rsa.pub >>authorized_keys 或 ssh-copy-id -i ~/.ssh/login2bwg.pub root@2001:470:c:1ab0::2 -p 26885 将公钥添加到服务器时报错❌：即使是使用sudo仍然没有权限修改文件内容

$ sudo cat id_rsa.pub >> authorized_keys
-bash: authorized_keys: Operation not permitted

解决方法：
通过 lsattr 命令发现文件受保护禁止任何编辑，有i输出，使用 chattr -i 命令删除保护属性

root@brave-post-2:~/.ssh# lsattr authorized_keys
----i------------- authorized_keys
root@brave-post-2:~/.ssh# chattr -i authorized_keys
root@brave-post-2:~/.ssh# lsattr authorized_keys
------------------ authorized_keys
root@brave-post-2:~/.ssh# cat github_actions2banwagon.pub >> authorized_keys # 已经能够修改authorized_keys的文件内容
root@brave-post-2:~/.ssh#

PS: 关于lsattr 和chattr 命令的简单用法。

(1) 用chattr命令防止系统中某个关键文件被修改
$ chattr +i /etc/resolv.conf
然后用 mv /etc/resolv.conf 等命令操作于该文件，都是得到 Operation not permitted 的结果。
vim编辑该文件时会提示W10: Warning: Changing a readonly file错误。要想修改此文件就要把i属性去掉：
chattr -i /etc/resolv.conf

使用 lsattr 命令来显示文件属性:
lsattr /etc/resolv.conf
输出结果为:
----i-------- /etc/resolv.conf

(2) 让某个文件只能往里面追加数据，但不能删除，适用于各种日志文件：
chattr +a /var/log/messages

已经配置好了公钥私钥，Ubuntu服务器仍然要求输入密码才能进行ssh登录

出现这个问题的原因是远程服务器上的sshd服务没有配置好，我用的Ubuntu 18.04默认配置是关闭使用私钥登录的，需要修改配置文件。

1. 在Ubuntu服务器上打开配置文件： sudo vi /etc/ssh/sshd_config

2. 修改配置如下：

#禁用root账户登录，如果是用root用户登录请开启  
PermitRootLogin yes  

# 是否让 sshd 去检查用户家目录或相关档案的权限数据，  
# 这是为了担心使用者将某些重要档案的权限设错，可能会导致一些问题所致。  
# 例如使用者的 ~.ssh/ 权限设错时，某些特殊情况下会不许用户登入  
StrictModes no  

# 是否允许用户自行使用成对的密钥系统进行登入行为，仅针对 version 2。  
# 至于自制的公钥数据就放置于用户家目录下的 .ssh/authorized_keys 内  
RSAAuthentication yes  
PubkeyAuthentication yes  
AuthorizedKeysFile .ssh/authorized_keys  

# 有了证书登录了，就禁用密码登录。 no为禁止密码登录
PasswordAuthentication yes

最后重启SSH的服务 sudo service sshd restart 即刻生效。

再次ssh连接至服务器，此时已经不用输入密码即刻登录，如下图所示：