SSH FIDO2 安全密钥认证配置指南

什么是 FIDO2 安全密钥? FIDO2 是一个开放认证标准,旨在提供更安全的密码替代方案。在 SSH 认证场景中,FIDO2 安全密钥(如 YubiKey、Titan Security Key 等)可以存储私钥,实现硬件级别的私钥保护。 与传统 SSH 密钥相比,FIDO2 安全密钥具有以下优势: 私钥永不离开硬件设备:即使计算机被攻破,攻击者也无法获取私钥 需要物理按键:每次认证都需要用户触摸密钥确认,防止远程恶意使用 支持 PIN 保护:可设置 PIN 码作为额外验证层 支持常驻密钥:密钥可存储在设备上,在多台机器间共享使用 支持的密钥类型 OpenSSH 支持两种 FIDO2 密钥类型: ecdsa-sk:基于 ECDSA 曲线的安全密钥 ed25519-sk:基于 Ed25519 的安全密钥(推荐) 生成 FIDO2 SSH 密钥 基本生成命令 1 ssh-keygen -t ed25519-sk -C "your-email@example.com" 生成过程中需要: 按提示触碰安全密钥的金属感应区 输入设备 PIN 码(如已设置) 常用生成选项 1. 创建常驻密钥(可在多台设备使用) 1 ssh-keygen -t ed25519-sk -O resident -C "resident-key@example.com" 常驻密钥存储在安全密钥内部,可通过 ssh-add -K 从其他机器加载。 2. 禁用触控要求(不推荐) 1 ssh-keygen -t ed25519-sk -O no-touch-required -C "no-touch@example....

June 22, 2026 · 2 min · 黑豆子