Linux SSH多主机配置教程与config文件详解

每次连接远程服务器都要敲一长串 ssh -p 2222 user@192.168.1.101，是不是觉得有点麻烦？其实，~/.ssh/config 文件就是解决这个问题的利器。配置好后，不仅 ssh 命令能简化，连 scp、rsync 甚至 git 都会自动读取对应的配置，效率提升立竿见影。

不过，配置过程看似简单，却有不少“暗坑”。一旦配错，轻则连接失败、权限被拒，重则整个配置文件被 SSH 客户端静默忽略，让人摸不着头脑。

为什么 ssh 不读 ~/.ssh/config

这个问题最常见的原因，往往出在文件权限上。OpenSSH 出于安全考虑，对 ~/.ssh 目录及其内部文件的权限有严格限制：~/.ssh 目录权限不能高于 700，~/.ssh/config 文件权限不能高于 600。只要其中任何一个的权限设置得过于宽松（比如不小心执行了 chmod 755 ~/.ssh），OpenSSH 就会出于安全考虑，直接静默忽略整个配置文件，而且通常不会给出明确的错误提示。

• 检查权限：使用 ls -ld ~/.ssh ~/.ssh/config 命令快速查看。
• 修复命令：执行 chmod 700 ~/.ssh && chmod 600 ~/.ssh/config 即可修复。
• 特别注意：如果你用 root 用户创建了配置，但实际使用普通用户连接，那么需要修改的是普通用户家目录下的 ~/.ssh，而不是 /root/.ssh。

Host 别名和 HostName 的区别

这是配置时最容易混淆的一对概念。Host 是你自己在终端里输入的“快捷指令”或匹配模式，比如 ssh db01；而 HostName 才是真正要连接的目标服务器地址，可以是 IP 或域名。两者必须分开定义，混在一起写会导致配置失效。

• 正确写法：

  Host db01
      HostName 192.168.1.102
      User appuser
      Port 2222

• 错误写法：Host db01 192.168.1.102（这种写法会让 SSH 认为你要匹配“db01”和“192.168.1.102”两个模式，基本无法按预期工作）。
• 通配符支持：你可以使用 Host 192.168.1.* 这样的模式来批量匹配一个网段的主机，但要注意，精确的 Host 名称匹配优先级高于通配符匹配。

多主机共享同一私钥时的 IdentityFile 写法

默认情况下，SSH 会尝试使用 ~/.ssh/id_rsa 等标准位置的私钥。但如果你的环境比较特殊，比如整个集群统一使用一个放在 /etc/ssh/cluster-key 的密钥，那就必须通过 IdentityFile 指令显式指定。

这里有个关键细节：路径必须使用绝对路径。使用相对路径（如 ./key 或 cluster-key）会被 SSH 解释为相对于你执行命令时的当前工作目录，而不是相对于 ~/.ssh/ 目录，这大概率会导致密钥找不到。

• 正确写法：IdentityFile /etc/ssh/cluster-key
• 错误写法：IdentityFile ./cluster-key 或 IdentityFile cluster-key
• 关于密码：如果私钥本身设置了密码，SSH 每次连接时都会弹出提示。若想实现免交互登录，需要配合 ssh-agent，使用 ssh-add /etc/ssh/cluster-key 命令将密钥添加到袋里中一次即可。

ProxyJump 跳转时的 config 嵌套写法

对于需要经过跳板机（Jumpserver）才能访问目标机器的场景，ProxyJump 指令比传统的 ProxyCommand 写法更简洁直观。它的原理是，你需要先定义好跳板机本身的连接配置，然后在目标主机的配置中引用它。

• 第一步，定义跳板机：

  Host jump
      HostName 192.168.10.10
      User admin
      IdentityFile ~/.ssh/jump-key

• 第二步，定义目标主机：

  Host app-prod
      HostName 10.0.2.5
      User deploy
      ProxyJump jump  # 这里引用上面定义的‘jump’主机

• 验证配置：使用 ssh -F ~/.ssh/config -v app-prod 命令进行调试连接，在输出的日志中寻找 debug1: Setting implicit ProxyJump 字样，确认跳转配置已生效。
• 重要前提：跳板机的 SSH 服务端配置（sshd_config）中，必须确保 AllowTcpForwarding 设置为 yes，否则 ProxyJump 所需的隧道无法建立，连接会失败。

最后，还有一个极其隐蔽的“坑”：配置文件的编码和换行符。如果你在 Windows 系统上用记事本等编辑器修改过 config 文件，它可能会被保存为 CRLF 格式。这种格式在 Linux/Unix 环境下会被 SSH 解析失败。务必使用 dos2unix ~/.ssh/config 命令转换，或者在 vim 中执行 :set ff=unix 来修正。

另外，配置文件对语法非常敏感，任何细微的错误——比如某行末尾漏了换行、在指令前误加了空格——都可能导致整个 Host 段落失效。而且，SSH 通常不会给出具体的语法错误提示，只会表现为配置不生效。所以，写完配置后仔细检查一遍，总是个好习惯。