如何设置Debian SFTP自动登录

Debian SFTP自动登录配置指南

一 核心思路

• 使用SSH密钥认证替代密码，实现本地到服务器的免密登录（SFTP基于SSH）。
• 在客户端保存私钥并配置自动使用；在服务器把公钥写入相应用户的**~/.ssh/authorized_keys**。
• 如为自动化脚本，建议配合SSH Agent或在命令中显式指定私钥，避免交互输入口令。

二 快速配置步骤

• 在客户端生成密钥对（如尚未生成）
  • 命令：ssh-keygen -t rsa -b 4096
  • 建议：为私钥设置强口令，或后续用ssh-agent管理密钥，便于脚本自动使用。
• 将公钥复制到服务器
  • 交互方式：ssh-copy-id user@remote_host
  • 手动方式：将本地**~/.ssh/id_rsa.pub内容追加到服务器对应用户的~/.ssh/authorized_keys**。
• 服务端开启公钥认证
  • 编辑：sudo nano /etc/ssh/sshd_config
  • 确保包含或取消注释：
    • PubkeyAuthentication yes
    • AuthorizedKeysFile .ssh/authorized_keys
  • 重启服务：sudo systemctl restart ssh
• 客户端测试
  • 命令：sftp user@remote_host
  • 若成功进入SFTP提示符，即完成免密登录配置。

三 权限与目录安全检查

• 本地私钥权限：chmod 600 ~/.ssh/id_rsa
• 本地公钥权限：chmod 644 ~/.ssh/id_rsa.pub
• 本地.ssh目录：chmod 700 ~/.ssh
• 服务器用户家目录：建议chmod 755 ~（属主为该用户）
• 服务器.ssh目录：chmod 700 ~/.ssh
• 服务器authorized_keys：chmod 644 ~/.ssh/authorized_keys
• 说明：权限不当会导致公钥认证被拒绝，务必按上述权限设置。

四 自动化与脚本使用建议

• 使用SSH Agent（推荐）
  • 启动：eval "$(ssh-agent -s)"
  • 添加密钥：ssh-add ~/.ssh/id_rsa
  • 之后执行sftp无需再次输入口令，适合定时任务与脚本。
• 命令行显式指定私钥
  • 示例：sftp -i ~/.ssh/id_rsa user@remote_host
• 首次连接的主机指纹确认
  • 交互首次会提示确认主机指纹，输入yes后会被写入**~/.ssh/known_hosts**，后续自动信任。
  • 不建议在脚本中使用-o StrictHostKeyChecking=no来跳过验证，存在中间人攻击风险；如确需非交互，可预先分发并记录指纹。

五 常见故障排查

• 认证被拒绝
  • 复核服务器/etc/ssh/sshd_config中PubkeyAuthentication yes与AuthorizedKeysFile路径是否正确，修改后执行：sudo systemctl restart ssh
  • 复核客户端私钥权限为600，服务器**~/.ssh与authorized_keys**权限与属主是否正确。
• 目录权限导致Chroot失败（若启用了Chroot）
  • Chroot根目录（如**/sftp/www-data或用户家目录）必须属主root:root且权限755**；用户可写目录单独设置属主为相应用户。
  • 配置示例（在/etc/ssh/sshd_config）：
    • Subsystem sftp internal-sftp
    • Match User www-data
      • ChrootDirectory /sftp/www-data
      • ForceCommand internal-sftp
      • PermitTTY no
      • X11Forwarding no
      • AllowTcpForwarding no
  • 修改后先语法检查：sudo sshd -t，再重启：sudo systemctl restart ssh
  • 日志排查：sudo tail -f /var/log/auth.log
• 首次连接交互中断
  • 确认已在本机~/.ssh/known_hosts写入目标主机指纹，或在受控环境下预先分发指纹以避免交互。