明明生成了密钥、上传了公钥，连接时却始终提示“Permission denied (publickey)”——对于初接触香港服务器的用户来说，这个报错几乎成了“必修课”。本文将从配置排查到日志分析，系统化拆解SSH密钥认证失败的根源，助您快速恢复访问。

SSH密钥认证采用非对称加密机制，客户端持有私钥、服务器端存储公钥。认证的基本流程如下：

用户在客户端生成密钥对（公钥 + 私钥），私钥保存在客户端，公钥上传至服务器

客户端向服务器发送认证请求，并提供客户端私钥进行签名验证

服务器用存储的公钥验证签名是否匹配

验证成功则建立连接，验证失败则返回`Permission denied (publickey)`

理解这一流程后，排查就有了清晰的路径——问题要么出在客户端（私钥未正确加载），要么出在服务器（公钥未正确配置），要么出在通路（配置或权限拦截）。

排查前的准备：先确认基础连通性

在深入密钥配置之前，建议先确认基本的网络连通性和SSH服务状态，避免在网络层浪费排查时间。

第一步：测试主机和端口连通性

测试主机是否可达

ping 服务器IP

测试SSH端口是否开放（默认22）

telnet 服务器IP 22

或

nc -zv 服务器IP 22

若`telnet`显示`Connection refused`，通常是SSH服务未启动、端口未监听或防火墙/安全组未放行。若显示`Connection timed out`，则大概率是防火墙或安全组规则丢弃了连接，建议登录云服务商控制台检查入站规则是否放行了来源IP和SSH端口。

逐个排查SSH密钥认证的“雷区”

以下六个维度涵盖了90%以上的密钥认证失败场景，建议按顺序逐项检查：

文件权限：最容易被忽视的隐形杀手

OpenSSH对密钥相关文件和目录的权限有极为严格的检查，权限过宽会直接拒绝认证。

服务器端检查：

用户主目录不能开放给其他用户写入（注意：家目录权限不能是775或777）

chmod 755 /home/用户名

.ssh目录必须为700

chmod 700 ~/.ssh

authorized_keys文件必须为600

chmod 600 ~/.ssh/authorized_keys

客户端本地检查（以Linux/Mac为例）：

私钥文件权限必须为600

chmod 600 ~/.ssh/id_rsa

公钥文件权限可为644

chmod 644 ~/.ssh/id_rsa.pub

用户主目录本身的权限也受检查。案例中有用户排查了所有文件后仍失败，最终发现是`/root`目录权限为755导致的。执行`ls -ld ~`查看家目录权限，若非755需及时修正。

检查服务器端公钥配置

手动操作时容易引入不可见字符或换行错误，导致authorized_keys格式异常。

正确添加公钥的方法（推荐）：

方法一：使用ssh-copy-id自动部署（推荐）

ssh-copy-id -i ~/.ssh/id_rsa.pub user@服务器IP

方法二：手动追加（确保公钥完整为一整行，以ssh-rsa/ssh-ed25519开头）

echo "ssh-rsa AAAAB3NzaC1yc2E...（完整公钥内容）" >> ~/.ssh/authorized_keys

若手动操作后仍然失败，建议对比服务器端authorized_keys中的公钥指纹与客户端本地公钥是否一致：

客户端查看公钥指纹

ssh-keygen -lf ~/.ssh/id_rsa.pub

服务器端查看authorized_keys中存放的公钥指纹

ssh-keygen -lf ~/.ssh/authorized_keys

指纹不匹配则说明公钥内容有差异，建议重新复制。

SSH服务端配置检查

登录服务器，检查`/etc/ssh/sshd_config`中关键配置项是否正确：

确保公钥认证已启用

PubkeyAuthentication yes

确认公钥文件路径正确（默认）

AuthorizedKeysFile .ssh/authorized_keys

若使用root登录，需检查以下配置（香港服务器常见场景）

PermitRootLogin prohibit-password   推荐：仅允许密钥登录root

修改配置后，务必先进行语法校验，再重启服务：

校验sshd_config语法

sudo sshd -t

若语法正确，重启服务

sudo systemctl restart sshd

客户端密钥加载检查

使用`-i`参数明确指定私钥文件，并用`-v`（或`-vvv`）查看详细连接过程：

ssh -vvv -i ~/.ssh/id_rsa user@服务器IP

重点关注调试输出中的以下内容：

- `Offering public key:` → 确认客户端确实发送了公钥请求

- `Server accepts key:` → 确认服务器端接受了该密钥

若未出现上述内容，说明私钥文件可能未被正确加载，或客户端使用了错误的密钥文件。

检查ssh-agent状态（当使用多个密钥时尤为关键）：

查看agent中已加载的密钥

ssh-add -l

若私钥未列出，手动添加

ssh-add ~/.ssh/id_rsa

 密钥算法兼容性检查

OpenSSH新版默认禁用了`ssh-rsa`算法，若生成的是RSA-SHA1密钥，连接会失败。

解决方案：建议使用更安全的`ed25519`算法重新生成密钥：

ssh-keygen -t ed25519 -C "your_email@example.com"

若因历史原因必须使用RSA密钥，可在服务端`/etc/ssh/sshd_config`中开启兼容：

PubkeyAcceptedKeyTypes +ssh-rsa

启用DEBUG日志，精准定位失败原因

当以上常规排查均无效时，启用SSH服务端的详细日志是最高效的定位手段。

配置服务器端DEBUG日志：

编辑sshd_config，添加以下配置

sudo vim /etc/ssh/sshd_config

LogLevel AUTH DEBUG2      推荐DEBUG2，包含密钥指纹和认证决策详情

SyslogFacility AUTH

修改后重启并监控日志：

sudo systemctl restart sshd

Ubuntu/Debian系统

sudo tail -f /var/log/auth.log | grep sshd

CentOS/RHEL系统

sudo tail -f /var/log/secure | grep sshd

香港服务器通常由云服务商提供，连接失败的首要原因是安全组入站规则未放行来源IP。务必在云控制台确认以下配置：

入站规则中SSH端口（默认22）已开放

来源IP范围包含你的本地IP（不建议设为`0.0.0.0/0`，建议按需放行）

SSH密钥认证涉及时间戳验证，若服务器与客户端时间差异过大可能导致认证失败。对于香港服务器，建议确保服务器时区正确：

查看当前时间，启用并启动NTP同步

sudo timedatectl set-ntp yes

sudo systemctl restart systemd-timesyncd

数据合规

香港服务器部署时还需注意数据安全合规要求，确保服务器与客户端之间的通信加密，建议定期轮换密钥。

对于购买了香港服务器却因SSH密钥认证失败而无法登录的用户，若自行排查仍无法解决，可随时联系我们Jtti获取技术支持。我们有多年香港服务器运维经验，可快速协助排查访问链路问题、优化连接稳定性，确保您的业务持续在线。