CentOS如何设置才能让SSH登录彻底不需要输入密码？

在管理CentOS服务器时，出于自动化脚本执行、提升操作效率或在特定高安全环境下，管理员有时会考虑取消基于密码的登录验证，直接移除密码而不引入更安全的替代方案，会极大地降低服务器的安全性，本文将详细介绍在CentOS系统中，如何以安全、可控的方式“取消登录密码”，其核心思想并非简单删除密码，而是通过SSH密钥对认证来替代密码认证，并在此基础上，根据需要配置无密码sudo操作,从而在保障安全性的前提下实现便捷登录。

为何以及何时应考虑取消密码登录

传统的密码认证方式虽然简单，但存在诸多弊端，密码可能被暴力破解、遭受钓鱼攻击或因用户使用弱密码而轻易泄露，在现代服务器运维实践中，基于公私钥对的SSH认证是公认的最佳实践,它提供了远高于密码的安全性。

取消密码登录的适用场景通常包括：

• 自动化运维： 编写自动化脚本（如使用Ansible, Jenkins, Git）进行远程部署和管理时，无需在脚本中硬编码密码,避免了密码泄露的风险。
• 提升效率： 对于频繁登录服务器的开发者或管理员，使用SSH密钥可以省去每次输入密码的步骤,同时保持高安全性。
• 增强安全： 在禁用密码认证后，即使服务器的SSH端口暴露在公网,攻击者也几乎无法通过暴力破解的方式获取系统访问权限。

核心方法：使用SSH密钥对替代密码认证

整个过程分为三个主要步骤：生成密钥对、将公钥部署到服务器、以及禁用密码认证，请务必按顺序操作,并在每一步之后进行验证。

在客户端生成SSH密钥对

在您的本地计算机（客户端）上生成一对SSH密钥：一个私钥和一个公钥，私钥必须妥善保管在本地，绝不可泄露；公钥则可以安全地放置在您需要访问的所有服务器上。

打开您本地计算机的终端（可以是Linux、macOS或Windows上的PowerShell/CMD）,执行以下命令：

ssh-keygen -t rsa -b 4096 -C "your_email@example.com"

命令参数解释：

• -t rsa: 指定密钥类型为RSA,这是一种成熟且广泛支持的算法。
• -b 4096: 指定密钥长度为4096位，长度越长,安全性越高。
• -C "your_email@example.com": 为密钥添加一个注释，通常是您的邮箱,用于识别该密钥的用途或所有者。

执行命令后，系统会提示您选择保存密钥的位置（默认为 ~/.ssh/id_rsa），并要求您为私钥设置一个密码短语，这个Passphrase是私钥的“密码”，为私钥提供了第二层保护，如果您的本地环境足够安全，可以选择留空，以实现完全的无密码登录，设置完成后，您会在 ~/.ssh/ 目录下看到 id_rsa（私钥）和 id_rsa.pub（公钥）两个文件。

将公钥复制到CentOS服务器

需要将刚刚生成的公钥（id_rsa.pub）添加到CentOS服务器的指定文件中，最便捷的方法是使用 ssh-copy-id 工具。

在您的本地终端中执行：

ssh-copy-id username@your_centos_server_ip

• 将 username 替换为您在CentOS服务器上的登录用户名。
• 将 your_centos_server_ip 替换为服务器的IP地址。

首次执行时，该命令会要求您输入一次 username 的密码，验证通过后，ssh-copy-id 会自动将您的公钥追加到服务器上 ~/.ssh/authorized_keys 文件中,并设置正确的文件权限。

手动方法（备用）：
如果您的客户端没有 ssh-copy-id 命令,可以手动操作：

1. 显示公钥内容：cat ~/.ssh/id_rsa.pub
2. 登录到CentOS服务器。
3. 确保存在 .ssh 目录：mkdir -p ~/.ssh
4. 设置目录权限：chmod 700 ~/.ssh
5. 追加到 authorized_keys 文件：echo "your_public_key_string" >> ~/.ssh/authorized_keys
6. 设置文件权限：chmod 600 ~/.ssh/authorized_keys

测试SSH密钥登录并禁用密码认证

这是最关键的一步，在禁用密码认证之前，必须确保您的SSH密钥登录已经工作正常。

测试登录：
在本地终端执行 ssh username@your_centos_server_ip，如果配置正确，您将直接登录到服务器,无需输入任何密码。

禁用密码认证：
确认SSH密钥登录成功后，可以开始编辑SSH服务配置文件,彻底关闭密码认证功能。

1. 使用具有 sudo 权限的用户登录服务器,并编辑SSH配置文件：

   sudo vi /etc/ssh/sshd_config

2. 在文件中找到以下参数,并确保它们的值如下所示：

   # 确保公钥认证是开启状态（默认通常是yes）
   PubkeyAuthentication yes
   # 将密码认证设置为no
   PasswordAuthentication no
   # 禁用挑战响应认证（某些情况下可能被用作密码认证的替代）
   ChallengeResponseAuthentication no

3. 保存并退出编辑器。

4. 重启SSH服务以使配置生效：

   sudo systemctl restart sshd

重要提示： 在执行重启命令后，请不要立即关闭当前的SSH连接窗口，请务必打开一个新的终端窗口，尝试使用SSH密钥再次登录服务器，以确保您没有被锁在系统之外，如果新窗口可以正常登录,说明配置成功。

实现无密码sudo操作

即使SSH登录无需密码，在执行需要管理员权限的命令时，系统默认仍会要求您输入当前用户的密码，对于自动化任务，这同样是一个障碍，您可以配置 sudo，允许特定用户在执行 sudo 命令时无需输入密码。

1. 使用 visudo 命令安全地编辑 sudoers 文件。visudo 会在保存时进行语法检查，避免因配置错误导致 sudo 功能失效。

   sudo visudo

2. 在文件末尾添加以下行，允许 username 用户无需密码执行所有 sudo 命令：

   username ALL=(ALL) NOPASSWD:ALL

   将 username 替换为您的实际用户名。

3. 如果您希望仅对特定命令免密（这是更安全的做法）,可以这样配置：

   

   username ALL=(ALL) NOPASSWD: /usr/bin/systemctl restart httpd, /usr/bin/yum update

   这允许 username 用户无需密码即可重启 httpd 服务和执行 yum update。

保存退出后，该用户下次执行 sudo 命令时就不再需要输入密码了。

方法对比与安全考量

为了更清晰地理解不同登录方式的利弊,下表进行了小编总结对比：

核心安全原则： 永远不要在未配置好替代认证方式（如SSH密钥）之前就禁用密码认证，无密码sudo应谨慎授予，尽量遵循最小权限原则，仅对必要的命令和可信的用户/服务账户开放。

相关问答FAQs

问题1：如果我禁用了密码认证，但SSH密钥又丢失了（如电脑损坏），我还能登录服务器吗？

解答： 这是一个非常严重的情况，您将无法通过SSH登录服务器，但仍有恢复途径,这取决于您的服务器部署环境：

• 物理服务器或具有控制台的云主机： 您可以通过服务器的物理控制台、或云服务商提供的Web VNC/控制台界面登录，这通常不经过SSH服务，因此不受sshd_config配置影响，登录后，您可以重新生成一个新的SSH密钥对并添加到~/.ssh/authorized_keys文件中，或者临时开启密码认证（PasswordAuthentication yes）以恢复访问。
• 无控制台访问权限的VPS： 如果您没有任何形式的控制台访问权限，情况将非常棘手，您可能需要联系服务商的支持人员,请求他们通过底层挂载磁盘或救援模式的方式帮您恢复访问。

最佳实践是：1）备份好您的SSH私钥，2）确保您至少有一种不依赖于SSH的备用访问方式（如控制台）。

问题2：为普通用户配置无密码sudo是否安全？有什么最佳实践？

解答： 为普通用户配置无密码sudo本身是一把双刃剑，它为自动化带来了便利，但也引入了安全风险，如果该用户的账户被攻破（其SSH私钥泄露），攻击者将立即获得完整的root权限,可以在服务器上为所欲为。

最佳实践包括：

1. 遵循最小权限原则： 尽量不要授予 NOPASSWD:ALL，而是精确指定需要免密的命令，NOPASSWD: /usr/bin/git pull, /usr/bin/systemctl restart myapp。
2. 使用专用服务账户： 不要为日常交互使用的个人账户配置无密码sudo，创建一个专门用于自动化任务的服务账户（如 deploy 或 ansible），仅为该账户配置必要的无密码sudo权限。
3. 强化SSH密钥安全： 确保该服务账户的SSH私钥受到严格保护，例如使用高强度的密码短语加密私钥,并将私钥存储在安全的密钥管理系统中。
4. 日志审计： 定期检查/var/log/secure或journalctl中的sudo相关日志，监控无密码sudo的使用情况,确保没有异常操作。