• 为什么要用公钥认证来加固 SSH 隧道
• 公钥认证的核心原理：握手与信任链
• 如何用公钥认证加固 SSH 隧道（流程概览）
• 实战场景：反向隧道的稳定化策略
• 常见误区与防护细节
• 对比：公钥认证 vs 证书认证（SSH CA）
• 配置演示（关键命令示例）
• 部署后检查项

为什么要用公钥认证来加固 SSH 隧道

在搭建 SSH 隧道以实现远程端口转发或反向代理时，认证机制是第一道防线。基于口令的认证虽然简单，但存在弱口令、暴力破解、凭证重用等风险；而公钥认证（public key authentication）通过非对称密钥对替代密码，显著提高了安全性并便于自动化。对于长期运行的隧道（例如作为跳板或反向代理的长期代理连接），公钥认证还能减少人工干预，提高稳定性。

公钥认证的核心原理：握手与信任链

公钥认证的基本思路是客户端持有私钥（private key），服务器保存对应的公钥（public key）。当客户端发起连接时，服务器用公钥验证客户端签名，确认私钥所有权。关键点包括：

• 私钥永不传输：仅在本地用于签名，避免中间人截获。
• authorized_keys 文件：服务器端通过此文件建立允许的公钥列表。
• 密钥类型与强度：常见有 ed25519、ecdsa、rsa（建议 rsa ≥ 4096 位或优先使用 ed25519/ecdsa）。
• agent 与代理转发：ssh-agent 可缓存私钥，免去每次输入密码的需要，但 agent 转发需谨慎，防止远程主机滥用代理进行认证。

如何用公钥认证加固 SSH 隧道（流程概览）

在不展示逐行代码的前提下，下面以步骤说明方式呈现典型实践流程，适合用于将 SSH 隧道从口令切换为密钥驱动的长期连接。

1. 在客户端生成密钥对：选择现代算法（如 ed25519）并为私钥设置良好口令或使用硬件密钥。
2. 将公钥追加到服务器的 authorized_keys：可以通过安全通道上传或由管理员手工添加，确保文件和目录权限严格（例如 ~/.ssh 700，authorized_keys 600）。
3. 在服务器端关闭弱认证方式：禁用密码登录（PasswordAuthentication no）、禁用 PermitRootLogin（如不必要）以及限制允许的算法。
4. 配置 SSH 隧道命令或服务单元：使用公钥认证驱动的隧道可以写入系统服务（systemd）或使用 autossh 做守护重连。
5. 审计与监控：定期检查 authorized_keys、登录日志（/var/log/auth.log 或 journalctl），并为异常登录设置告警。

实战场景：反向隧道的稳定化策略

很多翻墙/穿透场景采用反向隧道（reverse SSH tunnel），客户端位于防火墙内部，向外部跳板主机发起连接并保持端口转发。要做到既稳定又安全，建议：

• 使用专用密钥对并添加注释：为每个客户端生成独立密钥，并在 authorized_keys 注释中标明用途与到期时间，便于撤销与审计。
• 限制命令与来源：在 authorized_keys 中为公钥加上 from=”IP 或网段”、command=”…” 和 no-pty、no-X11-forwarding 等限制，避免被滥用作为普通 shell 登录。
• 结合 autossh 或 systemd：autossh 可自动检测断线并重连，systemd 的 Restart 策略可管理服务生命周期。用公钥认证配合这些工具能实现无人值守的持久隧道。
• 考虑端口与连接数限制：通过防火墙规则和 sshd 配置限制每个连接的资源，防止被用作跳板再传播攻击。

常见误区与防护细节

误区一：私钥可以随意复制备份。说明：私钥应受严格保护，备份时采用加密存储，并记录访问日志。误区二：agent 转发无害。说明：agent 转发会把私钥认证能力暴露给远程主机的会话，只有在完全信任目标主机并理解风险时才启用。误区三：只要用密钥就安全。说明：密钥管理、权限、ssh 配置硬化、审计缺一不可。

对比：公钥认证 vs 证书认证（SSH CA）

对于规模化部署，SSH CA（使用签发的短期证书而非静态 authorized_keys）是更易管理的方案。优点是集中签发与撤销、证书带有效期；缺点是需要搭建和维护 CA 基础设施。小规模或临时隧道场景下，静态公钥仍然简单且高效。

配置演示（关键命令示例）

下面给出最小化的命令片段，便于在实际操作中参考与组合（在 WordPress 中粘贴时可直接作为说明）：

# 生成密钥（建议在客户端）
ssh-keygen -t ed25519 -C "fq-client-01"

将公钥追加到服务器
可以使用 ssh-copy-id 或手工追加到 ~/.ssh/authorized_keys

在服务器的 sshd_config 中强化设置（示例）
PasswordAuthentication no
PermitRootLogin no
PubkeyAuthentication yes

部署后检查项

完成配置后，逐项核查：

• 尝试用密码登录是否被拒绝；
• 确认公钥登录成功并查看登录日志是否显示对应的 key fingerprint；
• 在多客户端环境测试撤销公钥后是否能即时断开访问；
• 对长期隧道观察重连频率与心跳策略，确保不会因小断线造成长期中断。

通过公钥认证与合理的运维策略，可以把 SSH 隧道从“临时工具”提升为可控、可审计的长期通信通道。这对搭建稳定、安全的翻墙或内网穿透环境尤为重要。