服务端

1. 新建用于远程登陆的用户 "zq"（因为之后会禁用root登陆，记得给"zq"所有命令的sudo权限！！！）
root@server:~# useradd -m -c "zq" -s /bin/bash zq

2. 设置用户 zq 的密码
root@server:~# passwd zq
2.1 输入新密码
Old Password: s123456
New Password: s123456

客户端

3. 生成ssh公钥认证所需的公钥和私钥文件（如果有就可以不用生成，在~/.ssh/ 下查看有没有， id_rsa是私钥、id_rsa.pub是公钥）
DylandeMacBook-Pro:~ dylan$ ssh-keygen

3.1 输入生成的密钥路径与名称（默认为/Users/dylan/.ssh/id_rsa，可以不用修改）
Enter file in which to save the key (/Users/dylan/.ssh/id_rsa): /Users/dylan/.ssh/zq_mac_rsa

3.2 给密钥加密，输入密码（可以为空，不设密码）
Enter passphrase (empty for no passphrase): c123456
Enter same passphrase again: c123456

4. 将私钥添加到本地ssh-agent的高速缓存中
（否则，使用ssh连接远程服务器也会提示“Permission denied (publickey) ”）
DylandeMacBook-Pro:~ dylan$ ssh-add ~/.ssh/zq_mac_rsa

5. 将公钥文件安装到远程主机对应的账户下的.ssh/authorized_keys文件中
DylandeMacBook-Pro:~ dylan$ ssh-copy-id -i .ssh/zq_mac_rsa.pub zq@server
zq@server's password: 输入zq用户的密码

服务端

6. 检查客户端用户的公钥是否安装成功（成功 ssh-rsa AAAAB3NzaC1yc2...... dylan@DylandeMacBook-Pro.local）
root@server:~# cat /home/zq/.ssh/authorized_keys

7. 编缉/etc/sudoers文件，准备给予zq用户sudo权限（因为后面会禁用root用户ssh登陆，为了方便zq用户管理系统）
root@server:~# visudo

添加这行内容后保存退出

• control+o 保存，enter 确认
• control+x 退出

8. 缉配置文件，准备禁用密码登陆，否则任何用户登陆还是需要密码
root@server:~# vi /etc/ssh/sshd_config

禁用密码登陆、禁止root用户通过ssh登陆

• PasswordAuthentication no #将yes改为no，即禁用密码登陆
• PermitRootLogin no #将yes改为no（如果 # 开头，则去掉 # ）， 即禁止root用户通过ssh登陆
• 注意：StrictModes如果设置为yes ，则会对.ssh .ssh/* 等文件做文件模式和权限验证，此时.ssh .ssh/权限一定要符合man中要求的权限一致，不能低于和超出，否则即使配置完成也无法利用密钥登陆！（权限的出入可能会导致其他用户更改了你的.ssh .ssh/ 信息，造成你无法登陆，在生产环境也许会造成严重后果！）

9. 重启sshd服务
root@server:~# sudo systemctl restart sshd.service或者sudo service ssh restart

客户端测试结果

DylandeMacBook-Pro:~ dylan$ ssh root@server #(失败，“root@server: Permission denied (publickey).” ，因为禁止 root 用户 ssh 登陆，也禁用密码登陆)

DylandeMacBook-Pro:~ dylan$ ssh zq@server #(无需密码，登陆成功)
zq@server:~$ sudo ls #(输入 zq 密码，ls执行完成代表成功sudo)

某一天，你的同事也要登陆服务器，如何在服务器上新增一个用户，并且仅许允SSH访问？

1、使用"zq"用户登陆服务器，创建新用户"ts"
2、visudo编缉/etc/sudoers文件，给"ts"所有命令sudo权限
3、在你同事的电脑上：使用"ssh-keygen"生成密钥，让同事把公钥发给你，将公钥文件打开，复制其中内容，然后在服务器上执行如下命令，切换到新用户环境，并将新用户的公钥内容写入authorized_keys文件
su - ts
echo '新用户公钥内容' >> /home/ts/.ssh/authorized_keys
4、以上操作完成之后新用户还是无法登陆服务器的话，建议重启ssh服务，若问题依旧那么检查注意项。

• 注意1：若sshd_config中StrictModes如果设置为yes，.ssh 文件700权限，.ssh/* 文件必须是600权限，否则配置完成后依然无法登陆！
• 注意2：OpenSSL版本差异生成的密钥也有可以造成配置完成后依然无法登陆，建议客户端与服务端使用相同的OpenSSL版本，并且版本>=1.1.1。
  https://www.openssl.org/policies/releasestrat.html