为什么Linux免密设置会失败？

在Linux系统中，通过SSH（Secure Shell）进行免密登录是一种常见的安全实践，它允许用户无需输入密码便可访问远程服务器，配置过程中可能会遇到一些障碍导致设置失败，下面就将探讨设置失败的常见原因，并提供解决方案。

1、文件和目录权限设置不当

错误的用户家目录权限：home/username目录（用户家目录）的权限不是700，则可能无法实现免密登录，这个目录应该仅允许所有者进行读、写和执行操作，以确保安全性。

不正确的.ssh目录权限：.ssh目录必须设置为700权限，以阻止群组和其他用户的访问，这个目录存放着SSH密钥，保护它不被未经授权的访问是至关重要的。

authorized_keys文件过松的权限：此文件应当设为600或644权限，避免其他用户对密钥文件进行修改或查看，该文件存储了用于认证的公钥信息，因此需要严格保护。

2、SELinux设置问题

SELinux的干扰：在某些情况下，SELinux的默认设置可能会与SSH服务的正常运行相冲突，关闭SELinux通过设置setenforce 0或修改/etc/selinux/config文件将其设置为disabled状态，可以解决由SELinux引起的免密登录问题。

3、SSHD配置错误

配置文件未启用免密码登录：编辑/etc/ssh/sshd_config文件，确保其中的PasswordAuthentication选项设置为yes，允许使用密钥进行认证，PermitRootLogin设置也需注意，若设置为withoutpassword，则root账户可以通过密钥进行认证，但不允許用密码登录。

错误的AuthorizedKeysFile路径：在sshd_config文件中的AuthorizedKeysFile指令指向的路径必须正确，通常应该是/home/username/.ssh/authorized_keys，这个路径必须与实际文件位置相匹配。

4、密钥生成和传输错误

密钥对生成不当：使用sshkeygen命令生成密钥时，应按照提示操作，并确保私钥和公钥正确生成，任何在密钥生成过程中的错误都可能导致免密登录失败。

公钥传输失败：使用sshcopyid传送公钥至目标服务器时，要确保命令执行成功，并且公钥实际已被添加至远程服务器上的authorized_keys文件中。

5、网络配置问题

防火墙设置：服务器的防火墙设置可能阻止了SSH连接，检查并确保SSH使用的端口（默认为22）已开放且没有被防火墙规则阻止。

6、客户端配置不当

客户端SSH配置问题：在某些情况下，客户端的SSH配置可能不兼容服务器端的设置，客户端可能使用了不匹配的加密算法或密钥格式，检查~/.ssh/config文件（存在于客户端上），确认其设置能够与服务器端正常通信。

7、版本不兼容

SSH协议版本不一致：如果客户端和服务器使用的SSH协议版本不一致，可能会导致兼容问题，确保两端运行的SSH版本支持相互使用的加密算法和认证方式。

8、用户权限问题

系统用户权限限制：某些发行版可能禁用了root账户的SSH登录，在这种情况下，使用root用户进行免密码登录是不可能成功的，检查/etc/ssh/sshd_config文件中的PermitRootLogin设置，并根据需要进行配置。

在解决了上述常见问题之后，还应注意以下方面以避免未来的问题：

定期更新系统和SSH服务，以修补安全漏洞。

使用强随机性密钥，并在可能的情况下使用较新和更安全的加密算法。

监控SSH访问日志，如/var/log/auth.log或/var/log/secure，以便及时发现异常登录尝试。

Linux免密设置失败可能是由于多种因素导致的，通过仔细检查文件和目录权限、SELinux设置、SSHD配置、密钥生成和传输过程、网络配置、客户端设置以及SSH版本兼容性等，大多数问题都可以得到解决，保持系统更新，使用强随机性密钥，以及监控SSH访问日志也是确保系统安全的重要措施。

FAQs

为什么修改文件权限后还是不能免密登录？

即使文件权限被正确修改，依然存在其他潜在问题可能导致免密登录失败，比如SELinux的安全策略干预，SSHD配置错误，或者客户端与服务器之间的网络连接问题，需要全面检查所有相关配置和服务状态来定位具体问题。

如果忘记密钥对应的密码该如何恢复？

如果忘记了与密钥对应的密码，而且该密钥没有备份，那么从技术上来说是无法直接恢复的，一种解决办法是生成新的密钥对，并将其部署到相应的服务器上，为了避免类似情况再次发生，建议对密钥进行妥善备份，并使用密码管理工具来保管密码。