幕雪

vscode免密登录ssh从概念到实战:告别繁琐密码,拥抱高效远程开发

什么是VSCode免密登录SSH?

VSCode免密登录SSH,顾名思义,是指在您使用Visual Studio Code (VSCode) 通过SSH(Secure Shell)协议连接到远程服务器进行开发时,无需每次都手动输入密码即可完成认证和连接。这并非VSCode特有的功能,而是基于SSH协议的密钥认证机制,VSCode通过其强大的Remote-SSH扩展,将这一功能无缝集成到了您的开发工作流中。

它的核心原理在于使用一对加密密钥:一个私钥(Private Key)和一个公钥(Public Key)。您的本地计算机上保存私钥(通常命名为`id_rsa`或类似),而远程服务器上则保存对应的公钥(通常存放在用户家目录的`.ssh/authorized_keys`文件中)。当您尝试连接时,SSH客户端会使用您的私钥向服务器发起认证请求,服务器则通过您的公钥进行验证。如果密钥对匹配,且私钥未被口令保护,或口令已通过SSH Agent预加载,连接便能成功建立,无需任何密码输入。

为什么要实现免密登录?

实现VSCode远程开发的SSH免密登录,带来了多方面的显著优势,极大地提升了开发效率和安全性:

  • 极致的便捷性: 告别每次连接时繁琐的密码输入。尤其是在频繁切换项目或进行多台服务器操作时,能节省大量时间,减少操作中断感,让您更专注于代码本身。
  • 更高的安全性: 相较于传统密码认证,密钥认证通常被认为更为安全。

    • 防暴力破解: 密钥的长度远超普通密码,理论上难以通过暴力破解方式攻破。
    • 无密码传输: 在认证过程中,您的实际密码不会在网络上传输,降低了被截获的风险。
    • 更强的随机性: 密钥是随机生成的,而非用户容易记忆(也更容易被猜测)的字符串。
  • 优化VSCode远程开发体验: VSCode的Remote-SSH扩展能够利用已配置好的SSH免密连接,提供几乎与本地开发无异的流畅体验。文件操作、终端会话、调试、Git操作等都通过这个无需密码的通道进行,确保了开发流程的连贯性。
  • 自动化脚本友好: 对于需要通过脚本或自动化工具连接远程服务器执行任务的场景,免密登录是不可或缺的基础,避免了自动化过程中的人工干预。

配置免密登录前需要准备什么?

在开始配置VSCode免密登录SSH之前,请确保您已具备以下条件和基础知识:

  1. 本地计算机环境:

    • 已安装VSCode。
    • 在VSCode中已安装并启用Remote – SSH扩展。您可以在VSCode的扩展市场中搜索并安装它。
    • 您的操作系统(Windows、macOS、Linux)内置或已安装了OpenSSH客户端。Windows 10及更高版本通常自带OpenSSH客户端。
  2. 远程服务器环境:

    • 拥有一台可供SSH连接的远程服务器(云服务器、物理服务器、虚拟机等)。
    • 服务器上已安装并运行SSH服务(sshd)。
    • 您拥有一个可以在该服务器上进行SSH登录的用户账号,并且知道其用户名。
    • 确保服务器的防火墙允许SSH连接(默认端口22)。
  3. 基本了解:

    • SSH密钥对(公钥和私钥)的工作原理。
    • 本地用户家目录下的`.ssh`文件夹是存放SSH相关配置和密钥的默认位置。

如何逐步实现VSCode免密登录SSH?

以下是详细的VSCode免密登录SSH配置步骤,旨在提供具体、可操作的指引。

第一步:生成SSH密钥对

这是实现免密登录的基础。您需要在本地计算机上生成一对公钥和私钥。

  1. 打开终端:

    • macOS/Linux: 打开“终端”应用程序。
    • Windows: 推荐使用Git Bash、Windows Terminal中的WSL (Ubuntu等)、或PowerShell。请勿使用CMD,因为它对SSH支持有限。
  2. 执行生成命令: 在终端中输入以下命令并按回车。

    ssh-keygen -t rsa -b 4096 -C "您的邮箱或其他标识符"
    • `ssh-keygen`:生成SSH密钥的命令。
    • `-t rsa`:指定密钥类型为RSA。RSA是一种广泛使用的非对称加密算法。
    • `-b 4096`:指定密钥长度为4096位。这是目前推荐的较高安全级别,默认是2048位。
    • `-C “您的邮箱或其他标识符”`:为密钥添加注释。这有助于您识别密钥的用途,尤其是当您有多个密钥对时。请将其替换为您的实际邮箱或任何有助于识别的信息。
  3. 按提示操作:

    • Enter file in which to save the key (/Users/youruser/.ssh/id_rsa):

      这是密钥文件的保存路径。默认路径通常是您用户家目录下的`.ssh/id_rsa`。对于大多数用户而言,直接按回车接受默认值即可。如果您想为不同的服务器生成不同的密钥,可以在这里输入新的文件名,例如`/Users/youruser/.ssh/my_server_key`。

    • Enter passphrase (empty for no passphrase):

      这是为您的私钥设置一个口令(Passphrase)。强烈建议设置一个复杂且难以猜测的口令。即使您的私钥被盗,如果没有这个口令,攻击者也无法使用它。每次使用私钥时都需要输入此口令,除非您使用了SSH Agent(我们将在后面介绍)。如果您想完全免密(包括口令),这里直接按回车留空即可,但这会降低私钥的安全性。

    • Enter same passphrase again:

      再次输入口令以确认。如果留空,此处也直接按回车。

  4. 查看生成结果: 密钥生成成功后,您会在指定的目录下找到两个文件:

    • `id_rsa` (或您指定的其他文件名):这是您的私钥文件请务必妥善保管,绝不能泄露给任何人!
    • `id_rsa.pub` (或您指定的其他文件名.pub):这是您的公钥文件。这个文件可以公开。
  5. 设置私钥权限: 确保私钥文件仅对您本人可读写,否则SSH客户端会拒绝使用该密钥。

    chmod 600 ~/.ssh/id_rsa

    (如果您使用了不同的文件名,请替换`id_rsa`)

第二步:上传公钥到远程服务器

这一步是将您的公钥添加到远程服务器上您希望登录的用户的`~/.ssh/authorized_keys`文件中。

  1. 方法一:使用`ssh-copy-id` (推荐,简单便捷)

    `ssh-copy-id`工具会自动帮您完成公钥的上传、创建目录和设置正确权限的工作。 

    ssh-copy-id -i ~/.ssh/id_rsa.pub 用户名@远程服务器IP或域名
    • `-i ~/.ssh/id_rsa.pub`:指定要上传的公钥文件路径。如果您生成了非默认名称的密钥,请替换`id_rsa.pub`。
    • `用户名@远程服务器IP或域名`:替换为您的远程服务器实际的登录用户名和IP地址或域名。

    执行命令后,它会提示您输入该远程用户的密码。输入一次正确密码后,公钥就会被自动添加到服务器的`~/.ssh/authorized_keys`文件中。

    注意: 如果您的本地系统没有`ssh-copy-id`(例如某些精简版的Windows系统或旧版Git Bash),或者您需要进行更精细的控制,请使用方法二。

  2. 方法二:手动复制公钥

    如果您无法使用`ssh-copy-id`,或者更喜欢手动控制,可以按照以下步骤操作:

    1. 在本地复制公钥内容:

      cat ~/.ssh/id_rsa.pub

      将输出的完整公钥字符串复制到剪贴板。它通常以`ssh-rsa`或`ssh-ed25519`开头,以您的注释结尾。

    2. 使用密码登录远程服务器:

      ssh 用户名@远程服务器IP或域名

      输入远程用户的密码进行登录。

    3. 在远程服务器上创建或编辑`authorized_keys`文件:

      登录成功后,执行以下命令。这个命令会创建一个`.ssh`目录(如果不存在),然后将您本地复制的公钥内容追加到`authorized_keys`文件中。 

      mkdir -p ~/.ssh && chmod 700 ~/.ssh && echo "您复制的公钥内容" >> ~/.ssh/authorized_keys && chmod 600 ~/.ssh/authorized_keys

      重要: 请务必将`”您复制的公钥内容”`替换为第一步中从本地复制的完整公钥字符串。

      • `mkdir -p ~/.ssh`:创建`.ssh`目录(如果不存在),`-p`表示如果父目录不存在也一并创建。
      • `chmod 700 ~/.ssh`:设置`.ssh`目录的权限为700(只有所有者有读、写、执行权限),这是SSH协议要求的严格权限。
      • `echo “…” >> ~/.ssh/authorized_keys`:将公钥内容追加到`authorized_keys`文件中。使用`>>`而不是`>`是为了避免覆盖已有内容。
      • `chmod 600 ~/.ssh/authorized_keys`:设置`authorized_keys`文件的权限为600(只有所有者有读写权限)。这也是SSH协议要求的。
    4. 退出远程服务器:

      exit
  3. 测试免密登录:

    在本地终端尝试连接远程服务器,看是否还需要输入密码。 

    ssh 用户名@远程服务器IP或域名

    如果配置成功,您应该直接登录到远程服务器而无需输入密码(如果您的私钥没有设置口令),或者只在第一次连接时提示输入私钥口令。

第三步:配置VSCode Remote-SSH连接

公钥上传成功后,现在我们需要告诉VSCode如何使用这个免密连接。

  1. 打开VSCode。
  2. 打开远程资源管理器: 点击VSCode左侧活动栏的“远程资源管理器”图标(通常是一个电脑显示器形状的图标),或者按下`Ctrl+Shift+X`搜索“Remote – SSH”扩展,然后点击其左侧的远程资源管理器按钮。
  3. 添加新SSH主机: 在“SSH TARGETS”区域,点击小的加号“+”图标。
  4. 输入SSH连接命令: VSCode会弹出一个输入框,提示您输入完整的SSH连接命令。例如:

    ssh 用户名@远程服务器IP或域名

    按回车确认。

  5. 选择SSH配置文件: VSCode会询问您要将配置保存在哪个SSH配置文件中。通常选择您的用户家目录下的`~/.ssh/config`文件。
  6. 编辑SSH配置文件: VSCode会自动打开`~/.ssh/config`文件,并为您添加一个基本的配置块。您需要根据您的实际情况进行修改和完善。

    以下是一个典型的`~/.ssh/config`配置示例: 

    Host my_remote_server
    HostName 您的远程服务器IP或域名
    User 您的远程登录用户名
    Port 22
    IdentityFile ~/.ssh/id_rsa
    # ProxyJump other_jump_host # 如果您需要通过跳板机连接,请取消注释并配置
    # ForwardAgent yes # 如果您需要SSH Agent Forwarding,请取消注释
    # StrictHostKeyChecking no # 首次连接时不检查主机密钥(不推荐用于生产环境)
    # UserKnownHostsFile /dev/null # 不记录主机密钥(不推荐用于生产环境)

    各项说明:

    • `Host my_remote_server`:这是您为这个连接设置的一个别名。在VSCode中连接时,您会看到这个名称,方便识别。您可以根据实际情况取名,例如`dev_server`、`prod_web`等。
    • `HostName 您的远程服务器IP或域名`:远程服务器的实际IP地址或域名。
    • `User 您的远程登录用户名`:您在远程服务器上使用的用户名。
    • `Port 22`:SSH服务的端口。如果您的服务器SSH端口不是默认的22,请务必修改。
    • `IdentityFile ~/.ssh/id_rsa`:指定用于认证的私钥文件路径。如果您在第一步生成了非默认名称的私钥(例如`~/.ssh/my_server_key`),请在这里指定正确的路径。
    • `# ProxyJump`:如果您需要通过跳板机(堡垒机)连接到目标服务器,可以取消注释并配置跳板机的`Host`别名。
    • `# ForwardAgent yes`:当您从跳板机进一步连接到其他服务器时,无需再次上传公钥,SSH Agent会自动转发您的密钥认证信息。

    保存`~/.ssh/config`文件。

  7. 连接到远程服务器:

    • 在VSCode的远程资源管理器中,您会看到刚刚添加的`my_remote_server`(或您设置的别名)。
    • 点击它旁边的连接图标,或者在命令面板(`F1`或`Ctrl+Shift+P`)中输入`Remote-SSH: Connect to Host…`,然后选择您配置的别名。
    • VSCode会在新窗口中打开远程连接。如果一切顺利,您将直接进入远程文件系统和终端,而无需输入密码。如果您的私钥设置了口令,只会提示您输入一次私钥口令。

第四步:管理SSH密钥口令与SSH Agent

如果您在生成私钥时设置了口令(强烈推荐),那么每次连接时都需要输入口令,这似乎与“免密”相悖。这时,`ssh-agent`就派上用场了。

什么是SSH Agent?

`ssh-agent`是一个在后台运行的程序,它负责管理您的SSH私钥,并在您需要进行SSH认证时提供这些密钥。一旦您将私钥添加到`ssh-agent`中并输入了口令,后续的连接就无需再输入口令了,除非`ssh-agent`重启或您移除了密钥。这就像一个安全的密钥保管箱。

如何使用SSH Agent?

  1. 启动SSH Agent:

    • macOS/Linux: 大多数现代桌面环境(如GNOME, KDE)和shell(如Bash, Zsh)在启动时会自动启动`ssh-agent`。您通常无需手动启动。
    • Windows (Git Bash/WSL): Git Bash和WSL通常也自带或能自动启动`ssh-agent`。
    • Windows (PowerShell): 您可能需要手动启动或配置自动启动。例如,在PowerShell中: 
      Get-Service ssh-agent | Set-Service -StartupType Automatic
Start-Service ssh-agent
  2. 将私钥添加到Agent:

    在您的本地终端中,执行以下命令,将您的私钥添加到`ssh-agent`。 

    ssh-add ~/.ssh/id_rsa

    如果您的私钥设置了口令,此命令会提示您输入一次口令。输入正确后,私钥就会被加载到`ssh-agent`中。

    如果您有多个私钥,可以重复此命令添加所有需要用到的密钥。

  3. 验证密钥是否已添加:

    ssh-add -l

    此命令会列出所有已加载到`ssh-agent`中的密钥。

  4. 持久化SSH Agent (可选,但推荐):

    `ssh-agent`默认在您当前的会话结束时关闭,这意味着您下次开机或打开新的终端会话时可能需要重新`ssh-add`。为了避免这种情况,您可以配置它随系统启动或登录时自动运行并加载密钥:

    • macOS: 使用macOS的钥匙串访问(Keychain Access)功能,它通常会自动保存并管理您的SSH密钥口令,无需手动`ssh-add`。
    • Linux: 依赖于您的桌面环境和shell配置。例如,可以将`ssh-add`命令添加到您的`~/.bashrc`、`~/.zshrc`或桌面环境的启动脚本中。
    • Windows (Git Bash): Git Bash通常有内置的`ssh-agent`管理,可以配置为在每次启动时加载密钥。
    • Windows (PowerShell): 可以使用`Start-Service ssh-agent`并结合任务计划程序等工具实现开机自启。

    通过`ssh-agent`,您只需在首次启动系统或`ssh-agent`时输入一次私钥口令,之后所有的SSH连接都将实现真正的免密。

常见问题与安全考量

在配置和使用VSCode免密登录SSH的过程中,可能会遇到一些问题或需要注意的安全事项。

常见问题及解决

  1. 权限问题:`Permissions 0644 for ‘/home/user/.ssh/id_rsa’ are too open.`

    原因: SSH客户端对密钥文件的权限要求非常严格。私钥(如`id_rsa`)的权限必须是`600`(所有者可读写),`authorized_keys`的权限必须是`600`,`.ssh`目录的权限必须是`700`。如果权限过高,SSH会出于安全考虑拒绝使用。

    解决: 在本地终端执行:

    chmod 600 ~/.ssh/id_rsa

    在远程服务器终端执行:

    chmod 700 ~/.ssh
chmod 600 ~/.ssh/authorized_keys

  2. `authorized_keys`文件内容错误或格式问题:

    原因: 公钥文件内容被破坏,有多余的空格或换行,或者复制时遗漏了部分内容。

    解决: 重新执行第二步的手动复制公钥过程,确保完整无误。验证`~/.ssh/authorized_keys`文件每一行都只有一个完整的公钥字符串。

  3. 连接超时或连接被拒绝:

    原因: 网络不通、远程服务器SSH服务未启动、防火墙阻止连接、IP地址或端口错误。

    解决:

    • 检查网络连接。
    • 确认远程服务器IP或域名、端口(默认22)是否正确。
    • 登录到服务器检查SSH服务状态:`sudo systemctl status sshd` (Linux)。
    • 检查服务器防火墙(如`ufw`或`firewalld`)是否开放SSH端口。
    • 在本地尝试使用`ssh -v 用户名@远程服务器IP`查看详细调试信息。
  4. VSCode提示“Could not establish connection to…”:

    原因: VSCode的`~/.ssh/config`配置错误、私钥路径错误、私钥口令未加载到Agent。

    解决:

    • 仔细检查`~/.ssh/config`文件中的`HostName`、`User`、`Port`、`IdentityFile`等参数是否与实际匹配。
    • 确认`IdentityFile`指向的私钥文件路径正确。
    • 确保私钥口令已通过`ssh-add`加载到`ssh-agent`中,并且`ssh-agent`正在运行。
    • 在VSCode中,通过命令面板(`F1`)搜索`Remote-SSH: Show Log`,查看更详细的连接日志以诊断问题。

安全最佳实践

虽然SSH密钥认证比密码更安全,但仍需遵循一些最佳实践来进一步增强安全性:

  1. 为私钥设置强口令: 这是保护私钥的最后一道防线。即使私钥文件泄露,没有口令也无法使用。
  2. 严格控制私钥权限: 确保私钥文件(如`id_rsa`)的权限始终为`600`,即只有文件所有者可读写。绝不将其放置在公共可访问的位置,也不要通过不安全的途径传输。
  3. 定期审计`authorized_keys`文件: 检查远程服务器上`~/.ssh/authorized_keys`文件中的内容。移除任何不再使用的或来源不明的公钥。
  4. 仅在需要时使用SSH Agent Forwarding: 尽管`ForwardAgent yes`很方便,但如果您的跳板机被攻陷,攻击者可能会利用您的转发代理连接到您有权限访问的其他服务器。谨慎评估其必要性。
  5. 禁用密码登录(在服务器端): 一旦确认密钥认证工作正常,强烈建议在远程服务器的SSH配置文件(通常是`/etc/ssh/sshd_config`)中禁用密码认证。找到并修改或添加以下行:

    PasswordAuthentication no
ChallengeResponseAuthentication no

    修改后,需要重启SSH服务:`sudo systemctl restart sshd` (Linux)。这将大大提高服务器的安全性,防止暴力破解密码攻击。

  6. 修改SSH默认端口: 将SSH服务从默认的22端口修改为其他不常用的端口,这可以减少自动化扫描工具的攻击。
  7. 使用多因素认证 (MFA): 如果您的SSH服务器支持,考虑启用MFA,为登录增加额外的安全层。

通过上述详细的步骤和注意事项,您应该能够成功配置VSCode的SSH免密登录,并享受更高效、安全的远程开发体验。告别繁琐的密码输入,让您的开发工作流更加顺畅。

vscode免密登录ssh