系統(tǒng)版本：Debian 12.5、11.1

1 生成密鑰對

可以用云服務(wù)商控制臺生成的密鑰對，也可以自己在客戶端或者服務(wù)器上生成，

已經(jīng)有密鑰對就可以跳過這步

用戶默認密鑰文件路徑為 ~/.ssh/id_rsa，可以在交互中指定路徑，也可以加-f參數(shù)指定路徑
注意避免用戶覆蓋已有密鑰。

ssh-keygen -t rsa  # 生成配對密鑰，后續(xù)一路enter即可
#ssh-keygen -t rsa -f ~/.ssh/id_rsa

passphrase 的建議：設(shè)置 passphrase（密碼）是為了提高私鑰的安全性，但如果是自動化場景（如無交互式登錄），則留空更方便。

會在用戶目錄（即~這個）下生成.ssh文件夾，里面的id_rsa是私鑰，id_rsa.pub是公鑰。

進入.ssh文件夾中，將公鑰寫入到authorized_keys中，將id_rsa私鑰下載并保存好。

2 公鑰寫入

在以下命令之前，需檢查 authorized_keys 文件是否已存在。如果存在直接追加，避免覆蓋

cd ~/.ssh
touch authorized_keys 
cat id_rsa.pub >> authorized_keys # 直接追加到 authorized_keys

設(shè)置 .ssh 目錄和 authorized_keys 文件的權(quán)限，以確保 SSH 密鑰認證的安全性，防止未授權(quán)訪問或潛在的安全風險
目錄權(quán)限（700）：保護目錄及其文件不被其他用戶訪問。
文件權(quán)限（600）：保護公鑰文件內(nèi)容不被篡改或讀取

chmod 700 ~/.ssh
chmod 600 ~/.sshauthorized_keys

3 修改ssh配置

vim /etc/ssh/sshd_config

關(guān)鍵配置項說明：

• Port:
  修改默認端口（22）為其他端口，例如 12322：

Port 12322

• 禁用 root 登錄:
  禁止直接使用 root 登錄，提高安全性（如非必要，建議設(shè)置為 no）：
• 以后只有一個root用戶 就不用改這里！

PermitRootLogin no

• 密鑰認證和密碼認證:
  使用密鑰認證并禁用密碼登錄（測試密鑰登錄成功后再修改密碼登錄設(shè)置）：

PubkeyAuthentication yes
PasswordAuthentication no

• 指定公鑰文件路徑:

# 默認是 .ssh/authorized_keys，必要時可自定義
AuthorizedKeysFile .ssh/authorized_keys

• 指定允許的公鑰類型：
  針對兼容性問題（如 Jenkins 插件的 SSH 連接）：

PubkeyAcceptedKeyTypes=+ssh-rsa

• 監(jiān)聽特定地址： 只允許指定的 IP 地址：

ListenAddress 0.0.0.0 # 允許所有地址
ListenAddress 192.168.1.100 # 僅監(jiān)聽特定地址

云服務(wù)商的控制臺的安全組：最好限制特定ip才能登錄ssh端口

如果不用云服務(wù)商的安全組，可以使用firewall-cmd管理端口，把新的ssh端口先開放

我個人習(xí)慣是先必須修改下面幾項

Port 22 #修改端口
PubkeyAuthentication yes # yes表示允許密鑰登陸
# AuthorizedKeysFile      .ssh/authorized_keys .ssh/authorized_keys2 # 指定密鑰的文件位置
PasswordAuthentication no # 不允許使用密碼登陸，等測試密鑰登陸成功了再修改此條，以防無法登陸
PubkeyAcceptedKeyTypes=+ssh-rsa #Jenkins 插件ssh連接失敗Auth fail可以添加

找到對應(yīng)行，進行修改

4 重啟ssh

systemctl restart ssh

last

journalctl -u ssh

或者，如果你想查看實時更新：

journalctl -u ssh -f

5 測試連接

ssh -p 2202 user@server_ip

參考文章：

SSH遠程管理與配置

https://blog.csdn.net/qq_47855463/article/details/116655311