FinalShell 使用 SSH 密钥对（Key）连接服务器教程

在日常的服务器管理和运维工作中，SSH (Secure Shell) 协议无疑是最核心且不可或缺的工具。它提供了一个加密的通信通道，确保远程连接的安全性。然而，传统的密码认证方式在便利性、自动化和安全性方面存在诸多局限。这时，SSH 密钥对认证便应运而生，它以更高的安全性、更强的自动化能力和免密码登录的便捷性，成为了现代运维的首选。

FinalShell 作为一款功能强大的国产免费 SSH 客户端，凭借其集成的文件管理、进程管理、流量监控等诸多特性，深受广大开发者和系统管理员的喜爱。本教程将深入解析如何在 FinalShell 中高效、安全地使用 SSH 密钥对连接服务器，助你告别繁琐的密码输入，迈向更高效的运维境界。

SSH 密钥对认证：原理与优势

SSH 密钥对认证机制基于非对称加密算法，由一对关联的密钥组成：公钥 (Public Key) 和私钥 (Private Key)。

1. 公钥 (Public Key)

• 特点: 可以公开分发，上传到你希望连接的每一台服务器上。
• 作用: 用于加密身份验证信息，并允许服务器验证连接客户端的身份。

2. 私钥 (Private Key)

• 特点: 必须严格保密，存储在你的本地计算机上。
• 作用: 用于解密服务器发送的加密信息，并证明客户端的身份。

3. 认证流程概述

当使用 SSH 密钥对连接服务器时，流程大致如下：

1. 客户端发起连接请求，并告知服务器它希望使用哪个密钥对进行认证。
2. 服务器查找其 ~/.ssh/authorized_keys 文件中是否有匹配的公钥。
3. 如果找到匹配的公钥，服务器会生成一个随机字符串并使用该公钥加密，然后发送给客户端。
4. 客户端使用其本地的私钥解密这个字符串，并将解密后的结果再次加密（通常使用会话密钥），然后发送回服务器。
5. 服务器验证客户端发送回来的字符串是否正确。如果正确，则认证成功，允许连接。

4. 密钥对认证的显著优势

• 更高的安全性: 密钥长度远超普通密码，难以被暴力破解。私钥通常受密码短语保护，提供了双重认证。
• 自动化便捷: 无需手动输入密码，可用于脚本自动化登录，极大地提升了工作效率。
• 防止中间人攻击: 有效降低了密码在传输过程中被截获的风险。
• 集中管理: 可以在多个服务器上使用相同的公钥，简化了多服务器管理的复杂性。

FinalShell 简介与获取

FinalShell 是一款集成了 SSH 客户端、FTP/SFTP 客户端、网络监控、进程管理等多种功能的免费工具，旨在提供一站式的服务器管理解决方案。其图形化界面友好，操作简便，特别适合需要频繁进行服务器操作的用户。

要开始使用 FinalShell，你需要先从官方或可靠渠道下载并安装它。通常，你可以在其官方网站或国内的软件下载站找到最新版本。

提示：请务必从官方或可信赖的渠道下载软件，以确保软件的安全性。

生成 SSH 密钥对：两种主流方式

在 FinalShell 中使用 SSH 密钥对连接服务器的第一步是生成密钥对。你可以选择在 FinalShell 内部生成，也可以使用外部工具（如 ssh-keygen）生成后再导入。

1. 使用 FinalShell 内部工具生成密钥对

FinalShell 提供了便捷的内置工具来生成 SSH 密钥对，这对于不熟悉命令行操作的用户来说尤为友好。

步骤详解：

1. 打开密钥管理界面:
   • 启动 FinalShell。
   • 在主界面左侧边栏，点击 工具 -> SSH 密钥管理。
2. 创建新密钥:
   • 在弹出的 SSH 密钥管理 窗口中，点击 新建 按钮。
   • 密钥类型: 建议选择 RSA 或 ECDSA。对于现代系统，RSA (推荐 2048 位或 4096 位) 和 ECDSA (推荐 256 位或 384 位) 都是安全的选择。
   • 密钥名称: 为你的密钥对设置一个易于识别的名称，例如 my_server_key。
   • 密码短语 (Passphrase): 强烈建议为你的私钥设置一个强密码短语。这会为私钥提供额外的保护层，即使私钥被盗，攻击者也无法直接使用。每次使用私钥时都需要输入此密码短语（或者在 FinalShell 中配置记住）。如果你不设置，则留空。
   • 点击 生成 按钮。
3. 保存密钥:
   • 生成成功后，FinalShell 会显示公钥内容。
   • 点击 保存 按钮，将私钥保存到本地计算机的安全位置。私钥文件通常没有扩展名或 .pem 扩展名，例如 my_server_key。公钥文件通常带有 .pub 扩展名，例如 my_server_key.pub。

2. 使用 ssh-keygen 命令生成密钥对（高级用户）

对于习惯命令行或需要在不同环境中重用密钥的用户，ssh-keygen 是 Linux/macOS 系统自带的标准工具。

步骤详解：

1. 打开终端或 Git Bash:
   • 在 Linux/macOS 系统中，直接打开终端。
   • 在 Windows 系统中，如果你安装了 Git Bash 或 WSL (Windows Subsystem for Linux)，可以打开其终端。
2. 执行生成命令:
   • 输入 ssh-keygen -t rsa -b 4096 -C "your_email@example.com" 并回车。
     • -t rsa: 指定密钥类型为 RSA。你也可以选择 ed25519 等更现代的算法。
     • -b 4096: 指定 RSA 密钥的长度为 4096 位（推荐）。
     • -C "your_email@example.com": 添加一个注释，方便识别密钥用途。
   • 系统会提示你选择保存私钥的路径和文件名，默认通常是 ~/.ssh/id_rsa。直接回车接受默认值即可。
   • 系统会提示你输入密码短语 (Passphrase)。输入一个强密码短语并确认。同样，强烈建议设置。
3. 查看生成结果:
   • 生成成功后，你的用户主目录下的 .ssh 文件夹中会生成两个文件：
     • id_rsa: 私钥文件（严格保密）。
     • id_rsa.pub: 公钥文件（可以分发）。
4. 导入到 FinalShell:
   • 回到 FinalShell 的 SSH 密钥管理 界面。
   • 点击 导入 按钮。
   • 选择你刚刚生成的 id_rsa 私钥文件。
   • 如果私钥设置了密码短语，FinalShell 会提示你输入。

服务器端配置：上传公钥到服务器

生成密钥对后，你需要将公钥上传到你希望连接的服务器上。

1. 手动上传公钥文件

这是最常见且通用的方法。

步骤详解：

1. 获取公钥内容:
   • 如果你在 FinalShell 中生成，直接在 SSH 密钥管理 界面复制公钥内容。
   • 如果你使用 ssh-keygen 生成，可以使用 cat ~/.ssh/id_rsa.pub 命令来显示公钥内容，然后复制。
2. 登录服务器:
   • 首次登录时，你可能需要使用密码或临时密钥对连接服务器。
   • 使用 FinalShell 新建一个密码认证的连接。
3. 创建或编辑 authorized_keys 文件:
   • 登录后，切换到你的用户目录 (通常是 /home/your_username/ 或 ~)。
   • 确保 .ssh 目录存在且权限正确。如果不存在，则创建：

     mkdir -p ~/.ssh
     chmod 700 ~/.ssh
     

   • 将公钥内容追加到 ~/.ssh/authorized_keys 文件中。如果文件不存在，会自动创建。

     echo "你的公钥内容" >> ~/.ssh/authorized_keys
     

     请务必将 你的公钥内容 替换为你的实际公钥字符串，不要包含换行符或多余空格。
   • 设置 authorized_keys 文件的权限：

     chmod 600 ~/.ssh/authorized_keys
     

   • 验证文件内容：

     cat ~/.ssh/authorized_keys
     

     确保你的公钥已正确添加。

2. 使用 ssh-copy-id 命令（仅限 Linux/macOS 客户端）

如果你是在 Linux/macOS 环境下使用 ssh-keygen 生成密钥对，并且服务器已经开放了 SSH 端口且可以通过密码登录，ssh-copy-id 是一个非常方便的工具，可以自动化上传公钥。

ssh-copy-id -i ~/.ssh/id_rsa.pub user@your_server_ip

• user: 服务器上的用户名。
• your_server_ip: 服务器的 IP 地址或域名。

执行该命令后，它会提示你输入服务器的密码，成功后公钥会自动添加到服务器的 authorized_keys 文件中。

FinalShell 配置：使用密钥连接服务器

现在，服务器端已经准备就绪，我们将在 FinalShell 中配置使用私钥进行连接。

1. 新建或编辑连接

1. 打开连接管理器:
   • 在 FinalShell 主界面左侧，点击 连接 按钮或 文件 -> 新建连接。
2. 填写基本信息:
   • 名称: 为你的连接设置一个有意义的名称，例如 My_Production_Server。
   • 主机: 输入服务器的 IP 地址或域名。
   • 端口: 默认为 22，如果服务器使用了非标准端口，请修改。
   • 用户名: 输入你在服务器上的用户名。
3. 选择认证方式:
   • 在 认证方式 下拉菜单中，选择 公钥。
   • 私钥文件: 点击旁边的文件夹图标，选择你之前生成并保存的私钥文件 (例如 my_server_key 或 id_rsa)。
   • 密码短语: 如果你的私钥设置了密码短语，请在此处输入。你可以选择 记住密码短语 以免每次输入。

2. 测试连接与高级设置

1. 测试连接:
   • 填写完所有信息后，点击 确定 保存连接。
   • 在左侧的连接列表中，双击你刚刚创建的连接。
   • 如果一切配置正确，FinalShell 将会直接连接到服务器，而无需输入密码。
2. 高级设置 (可选):
   • 在连接设置界面，你可以找到更多高级选项，例如代理设置（如 SOCKS5 代理，如图所示），端口转发，X11 转发等。
   • 根据你的具体网络环境和需求进行配置。

SSH 密钥对管理最佳实践

为了最大化 SSH 密钥对的安全性与便捷性，遵循以下最佳实践至关重要：

1. 保护私钥安全

• 密码短语: 始终为私钥设置一个强大的密码短语。这是防止私钥被盗后被滥用的第一道防线。
• 私钥权限: 确保私钥文件的权限设置正确。在 Linux/macOS 上，私钥文件权限应为 chmod 600 (只有所有者可读写)，公钥文件权限为 chmod 644 (所有者可读写，其他人只读)。
• 物理隔离: 不要将私钥存储在公共或不安全的设备上。考虑使用硬件密钥（如 YubiKey）存储私钥。
• 备份: 定期备份私钥文件及其密码短语，并存储在安全的地方。

2. 定期更换密钥对

虽然 SSH 密钥对比密码更安全，但并非一劳永逸。建议每隔一年或两年更换一次服务器上的公钥，并更新本地的私钥。这是一种良好的安全卫生习惯，可以降低长期泄露的风险。

3. 使用 SSH Agent

SSH Agent 是一个在内存中缓存私钥及其密码短语的程序。一旦你将私钥添加到 Agent 中并输入密码短语，之后在同一会话中就不再需要重复输入。FinalShell 等客户端通常会集成类似的功能，极大提升便利性。

4. 最小权限原则

只授予 SSH 密钥访问其所需的最小权限。例如，不要使用 root 用户的密钥进行日常操作，而是使用普通用户账号，并在需要时通过 sudo 提升权限。

常见问题与故障排除

在使用 SSH 密钥对连接服务器时，可能会遇到一些问题。以下是一些常见问题及其解决方案：

1. 权限错误 (Permission Denied)

• 问题描述: 无法连接，提示 "Permission denied (publickey)"。
• 解决方案:
  • 服务器端: 检查 ~/.ssh 目录及其下的 authorized_keys 文件的权限。
    • ~/.ssh 目录权限应为 700 (drwx------)。
    • authorized_keys 文件权限应为 600 (-rw-------)。
    • 主目录 (如 /home/your_username) 的权限也不应过于开放，建议 755 或 700。
  • 客户端: 检查本地私钥文件的权限是否为 600。
  • 公钥内容: 再次确认 authorized_keys 文件中的公钥内容是否完整且无误，没有多余的空格或换行符。

2. 连接超时

• 问题描述: 尝试连接时，长时间无响应或提示连接超时。
• 解决方案:
  • 网络连接: 检查本地网络与服务器之间的连接是否正常 (例如，ping your_server_ip)。
  • 防火墙: 检查服务器端的防火墙（如 iptables, firewalld, 安全组）是否允许来自你的 IP 地址的 SSH 连接 (默认端口 22)。
  • SSH 服务: 确认服务器上的 SSH 服务 (sshd) 是否正在运行。
  • 端口号: 确认你在 FinalShell 中配置的端口号与服务器实际开放的 SSH 端口号一致。

3. 私钥密码短语错误

• 问题描述: 输入了错误的私钥密码短语导致认证失败。
• 解决方案:
  • 仔细核对并重新输入密码短语。
  • 如果你忘记了密码短语，你将无法使用该私钥。你需要重新生成一个新的密钥对，并将其公钥上传到服务器。

4. 密钥格式问题

• 问题描述: FinalShell 无法识别私钥文件，或提示密钥格式错误。
• 解决方案:
  • 确保你导入的是正确的私钥文件（而不是公钥文件）。
  • FinalShell 通常支持 OpenSSH 格式的私钥。如果你使用了其他工具生成密钥，可能需要将其转换为兼容格式。

总结与展望

通过本教程，你已经掌握了在 FinalShell 中使用 SSH 密钥对连接服务器的全面知识和操作步骤。从理解密钥对的原理和优势，到使用 FinalShell 内置工具或 ssh-keygen 生成密钥，再到服务器端公钥的配置和 FinalShell 客户端的连接设置，你现在应该能够轻松、安全地管理你的远程服务器了。

拥抱 SSH 密钥对认证，不仅能显著提升你的运维安全性，更能解放你双手，让你从重复的密码输入中解脱出来，将更多精力投入到更有价值的工作中。随着云计算和自动化运维的普及，SSH 密钥对的重要性将日益凸显。不断学习和实践这些最佳实践，将使你成为一名更高效、更安全的系统管理者。