前言

作為開發(fā)者，我們經(jīng)常需要在本地使用Cursor編輯器連接遠(yuǎn)程服務(wù)器進(jìn)行開發(fā)。每次輸入密碼不僅繁瑣，還存在安全隱患。本文將詳細(xì)介紹如何配置SSH免密登錄，讓你的Cursor能夠安全、便捷地連接遠(yuǎn)程服務(wù)器。

什么是SSH免密登錄？

SSH免密登錄基于非對(duì)稱加密技術(shù)，通過公鑰私鑰對(duì)進(jìn)行身份驗(yàn)證：

• 私鑰：保存在本地，用于簽名驗(yàn)證身份
• 公鑰：存儲(chǔ)在服務(wù)器，用于驗(yàn)證簽名
• 原理：客戶端用私鑰對(duì)隨機(jī)挑戰(zhàn)進(jìn)行簽名，服務(wù)器用公鑰驗(yàn)證簽名有效性

這種方式比密碼更安全，因?yàn)樗借€從不離開你的本地機(jī)器。

環(huán)境說明

• 客戶端：Windows 10/11，Cursor編輯器
• 服務(wù)器：CentOS 7，IP：XXX.XXX.XXX.XXX
• 用戶：XXXX

配置步驟

1. 生成SSH密鑰對(duì)（如果沒有）

在本地Windows PowerShell中：

ssh-keygen -t rsa -b 4096 -C "your_email@example.com"

• 按回車使用默認(rèn)路徑：C:\Users\用戶名\.ssh\id_rsa
• 可以設(shè)置密碼短語（推薦）

2. 配置SSH客戶端

編輯本地SSH配置文件 C:\Users\用戶名\.ssh\config：

Host 252XXXX
  HostName  XXX.XXX.XXX.XXX
  User XXXX
  Port 22
  ServerAliveInterval 60
  ServerAliveCountMax 3
  TCPKeepAlive yes
  IdentityFile C:\Users\XXXXX\.ssh\id_rsa

3. 將公鑰添加到服務(wù)器

查看本地公鑰：

type C:\Users\用戶名\.ssh\id_rsa.pub

將輸出的公鑰內(nèi)容添加到服務(wù)器的 ~/.ssh/authorized_keys 文件中。

4. 測(cè)試連接

ssh XXXX

如果一切正常，應(yīng)該能直接登錄而不需要密碼。

常見問題及解決方案

問題1：仍然要求輸入密碼

癥狀：配置完成后，SSH連接仍然要求輸入密碼

診斷方法：

ssh -v XXXX

查看詳細(xì)日志，重點(diǎn)關(guān)注：

• debug1: Offering public key:
• debug1: Server accepts key: 或拒絕信息

可能原因及解決方案：

原因1：公鑰格式錯(cuò)誤

檢查服務(wù)器上的公鑰是否正確：

cat ~/.ssh/authorized_keys

原因2：文件權(quán)限問題

SSH對(duì)文件權(quán)限要求嚴(yán)格：

# 檢查權(quán)限
ls -la ~/.ssh/
ls -ld ~

# 修復(fù)權(quán)限
chmod 700 ~/.ssh
chmod 600 ~/.ssh/authorized_keys
chmod g-w ~  # 重要！移除home目錄的組寫權(quán)限

關(guān)鍵點(diǎn)：home目錄不能有組寫權(quán)限，否則SSH會(huì)拒絕公鑰認(rèn)證！

原因3：SELinux安全上下文問題

在啟用SELinux的系統(tǒng)中，文件需要正確的安全上下文：

# 檢查SELinux狀態(tài)
getenforce

# 修復(fù)安全上下文
restorecon -R ~/.ssh/

# 驗(yàn)證上下文
ls -Z ~/.ssh/authorized_keys

正確的上下文應(yīng)該包含 ssh_home_t 類型。

問題2：Cursor無法連接

確保Cursor使用正確的SSH配置：

1. 按 Ctrl+Shift+P
2. 選擇 "Remote-SSH: Connect to Host"
3. 選擇配置的主機(jī)名（如 252XXXX）

Cursor會(huì)自動(dòng)讀取SSH配置文件并使用對(duì)應(yīng)的私鑰。

安全最佳實(shí)踐

1. 私鑰安全

• 私鑰文件設(shè)置強(qiáng)密碼短語
• 定期輪換密鑰對(duì)
• 備份私鑰到安全位置

2. 服務(wù)器配置

編輯 /etc/ssh/sshd_config：

# 啟用公鑰認(rèn)證
PubkeyAuthentication yes

# 可選：禁用密碼登錄（確認(rèn)密鑰登錄正常后）
PasswordAuthentication no

# 限制root登錄
PermitRootLogin no

3. 網(wǎng)絡(luò)安全

• 使用非標(biāo)準(zhǔn)SSH端口
• 配置防火墻限制SSH訪問
• 啟用fail2ban防止暴力破解

原理深入解析

非對(duì)稱加密驗(yàn)證流程

1. 客戶端發(fā)起連接請(qǐng)求
2. 服務(wù)器發(fā)送隨機(jī)挑戰(zhàn)數(shù)據(jù)
3. 客戶端用私鑰對(duì)挑戰(zhàn)進(jìn)行數(shù)字簽名
4. 服務(wù)器用公鑰驗(yàn)證簽名
5. 驗(yàn)證通過則建立連接

SELinux的作用

SELinux提供強(qiáng)制訪問控制（MAC），為SSH文件分配特定的安全上下文：

unconfined_u:object_r:ssh_home_t:s0
     ↓         ↓        ↓        ↓
   用戶類型   角色類型   文件類型  安全級(jí)別

只有具有適當(dāng)權(quán)限的進(jìn)程才能訪問 ssh_home_t 類型的文件，提供額外的安全保護(hù)。

總結(jié)

SSH免密登錄配置看似簡單，但細(xì)節(jié)決定成敗。本文遇到的主要問題：

1. 公鑰格式錯(cuò)誤：缺少 's' 字符
2. 文件權(quán)限問題：home目錄組寫權(quán)限
3. SELinux上下文：安全標(biāo)簽不正確

通過系統(tǒng)性的診斷和修復(fù)，最終實(shí)現(xiàn)了Cursor與遠(yuǎn)程服務(wù)器的免密連接。這不僅提高了開發(fā)效率，也增強(qiáng)了連接安全性。

記?。喊踩渲脽o小事，每個(gè)細(xì)節(jié)都可能影響最終結(jié)果。希望這篇文章能幫助你順利配置SSH免密登錄，享受更高效的遠(yuǎn)程開發(fā)體驗(yàn)！