银河麒麟系统SSH公钥登录配置与安全远程连接指南

在麒麟操作系统上配置SSH公钥登录，不仅能免去每次输入密码的繁琐，更能显著增强远程连接的安全性。整个过程并不复杂，核心步骤围绕密钥生成、公钥部署和服务端配置展开。本文将详细介绍几种主流方法，涵盖从自动化部署到手动配置，助你轻松完成麒麟系统SSH密钥登录设置。

一、使用ssh-keygen与ssh-copy-id自动部署公钥

若你的本地计算机与目标麒麟服务器均安装了OpenSSH客户端且网络互通，那么利用ssh-copy-id工具进行自动化部署是最便捷高效的方式。它能自动处理目录创建、文件写入及权限设置等所有细节。

首先，在本地终端生成SSH密钥对。执行以下命令，推荐使用更安全、性能更优的Ed25519算法。按提示可设置密钥存储路径（默认即可）和密码短语（为方便演示，此处留空）：

ssh-keygen -t ed25519 -C "admin@kylin"

生成成功后，在~/.ssh/目录下会看到私钥id_ed25519和公钥id_ed25519.pub。请务必确保私钥文件权限为600，这是关键的安全设置。

接下来，使用ssh-copy-id命令将公钥自动传输并部署到远程麒麟主机：

ssh-copy-id -i ~/.ssh/id_ed25519.pub user@192.168.1.100

根据提示输入远程用户的密码。若看到“Number of key(s) added: 1”的成功提示，即表示公钥已成功添加至目标主机的授权文件中。

二、手动复制公钥内容并写入authorized_keys文件

在某些特定环境，例如目标麒麟系统为最小化安装或ssh-copy-id命令不可用时，手动部署公钥是更为可靠的方案。此方法通过命令行管道操作，能有效规避文件传输可能引发的权限问题。

第一步，在本地终端查看并复制公钥的全部内容：

cat ~/.ssh/id_ed25519.pub

然后，登录到目标麒麟服务器。切换到需要配置密钥登录的用户家目录，创建.ssh目录并设置严格的访问权限：

mkdir -p ~/.ssh && chmod 700 ~/.ssh

接着，将你复制的公钥字符串（通常以“ssh-ed25519 AAA...”开头）追加写入authorized_keys文件。请务必替换命令中的示例内容为你自己的公钥：

echo "ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAI..." >> ~/.ssh/authorized_keys

最后，至关重要的一步：为授权文件本身设置正确的权限，这直接关系到SSH公钥认证能否正常工作。

chmod 600 ~/.ssh/authorized_keys

三、跨用户批量部署公钥（含root账户）

在运维管理中，常需为多个用户（包括超级管理员root）统一配置SSH密钥登录。批量部署能极大提升效率，其核心依然是遵循严格的目录和文件权限规范。

你可以为每个用户生成独立的密钥对，也可以共享同一对密钥（需确保公钥内容已正确添加到每个用户的授权文件中）。

以配置root账户的SSH密钥登录为例，需要依次执行以下命令。首先创建root用户的.ssh目录并设权：

sudo -u root mkdir -p /root/.ssh && sudo chmod 700 /root/.ssh

然后，将对应的公钥内容写入root用户的authorized_keys文件。使用sudo sh -c是为了确保重定向操作在root权限下执行：

sudo sh -c 'echo "ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAI..." >> /root/.ssh/authorized_keys'

同样，必须严格限制root账户授权文件的权限：

sudo chmod 600 /root/.ssh/authorized_keys

对于其他普通用户，参照上述“手动部署”的流程，在其各自的家目录下操作即可完成银河麒麟系统SSH密钥配置。

四、修正SSH服务端配置并重启服务

客户端配置完成后，必须确保麒麟服务器端的SSH服务已启用公钥认证。默认配置可能未开启，或受到PAM（可插拔认证模块）的干扰，导致密钥登录失败。因此，调整服务端配置是必不可少的步骤。

使用文本编辑器（如vim）打开SSH服务的主配置文件：

sudo vim /etc/ssh/sshd_config

在文件中找到并确认以下关键参数设置为指定值，若被注释则取消注释，若不存在则手动添加：

• PubkeyAuthentication yes （启用公钥认证）
• AuthorizedKeysFile .ssh/authorized_keys （指定公钥存储文件路径）
• PasswordAuthentication no （建议先设为yes进行测试，验证无误后再改为no以禁用密码登录）

这里有一个针对麒麟操作系统的重要注意事项：找到配置文件中UsePAM yes这一行。如果该行未被注释（即行首没有#号），强烈建议你手动添加#号将其注释掉（即改为#UsePAM yes）。这是解决PAM模块可能干扰公钥登录问题的关键操作。

所有配置修改完成后，保存并退出编辑器。然后重新加载SSH服务配置，使更改立即生效：

sudo systemctl reload sshd

五、验证密钥登录有效性并最终禁用密码认证

配置完成后，必须进行有效性测试，确保密钥登录成功后再关闭密码通道，从而构建完整的安全防护闭环。

从本地客户端，使用指定私钥尝试连接远程麒麟服务器：

ssh -i ~/.ssh/id_ed25519 user@192.168.1.100

如果能够不输入密码直接登录系统，则证明SSH公钥认证配置成功。

验证成功后，为了进一步提升服务器安全性，可以返回修改/etc/ssh/sshd_config文件，将PasswordAuthentication参数的值设置为no，以彻底禁用密码登录方式。

最后，执行一次完整的SSH服务重启，确保所有配置持久化生效：

sudo systemctl restart sshd

为了确保万无一失，可以再次尝试使用密码方式进行连接测试：

ssh user@192.168.1.100

此时，服务器应返回“Permission denied (publickey)”的错误提示。这恰恰是一个积极的信号，表明你的麒麟操作系统现已仅支持密钥认证，密码登录已被安全禁用，系统远程访问的安全等级得到了实质性提升。