一、SSH 公钥认证失败的常见原因与深度排查指南

在使用 Git 配置 SSH 公钥认证时，频繁出现 Permission denied (publickey) 错误。该问题虽常见，但涉及多个技术层面，需系统化排查。以下从基础到深入逐步分析可能原因，并提供解决方案。

1. 检查私钥文件权限是否合规

SSH 安全机制要求私钥文件权限必须严格限制。若权限过于开放（如 644 或 755），SSH 客户端将拒绝加载密钥。

chmod 600 ~/.ssh/id_rsa
chmod 700 ~/.ssh

上述命令确保私钥仅用户可读写，目录仅用户可访问。Linux/Unix 系统对此极为敏感，Windows WSL 环境同样适用。

2. 确认 SSH 密钥已添加至 ssh-agent

即使密钥存在，若未被 ssh-agent 管理，Git 将无法自动使用。

1. 启动 ssh-agent：eval $(ssh-agent -s)
2. 添加私钥：ssh-add ~/.ssh/id_rsa
3. 验证添加结果：ssh-add -l

若使用非默认密钥名（如 id_ed25519 或自定义名称），需显式指定路径。

3. 验证远程仓库 URL 是否为 SSH 格式

HTTPS 与 SSH 是两种不同协议。若远程地址为 HTTPS，则不会触发 SSH 认证。

可通过以下命令修改远程地址：

git remote set-url origin git@github.com:username/repo.git

4. 检查 SSH config 文件配置正确性

当使用多账户或多平台（GitHub、GitLab、自建 Git 服务）时，~/.ssh/config 文件至关重要。

Host github.com
    HostName github.com
    User git
    IdentityFile ~/.ssh/id_rsa_github
    IdentitiesOnly yes

配置错误会导致 SSH 使用默认密钥或忽略指定密钥。注意 Host 字段应与 Git 远程 URL 中的域名一致。

5. 确保公钥已正确复制并上传至 Git 服务器

常见误区是认为生成密钥即完成配置，实则需手动将公钥（.pub 文件内容）粘贴至平台设置中。

• GitHub：Settings → SSH and GPG keys → New SSH key
• GitLab：Preferences → SSH Keys
• Bitbucket：Personal settings → SSH keys

务必完整复制公钥内容（包括 ssh-rsa 前缀和邮箱后缀），避免换行或缺失字符。

6. 使用 SSH 连接测试验证认证流程

通过以下命令可诊断连接过程：

ssh -T git@github.com

成功响应通常为：

Hi username! You've successfully authenticated, but GitHub does not provide shell access.

若失败，添加 -v 参数查看详细日志：

ssh -vT git@github.com

7. 多密钥环境下的 Host 别名管理

当管理多个 Git 账户时，应使用别名隔离密钥：

Host github-work
    HostName github.com
    User git
    IdentityFile ~/.ssh/id_rsa_work

Host github-personal
    HostName github.com
    User git
    IdentityFile ~/.ssh/id_rsa_personal

对应仓库的远程 URL 应使用别名：

git remote set-url origin git@github-work:company/project.git

8. 排查 SELinux 或文件系统安全策略干扰

在某些企业 Linux 环境中，SELinux 可能阻止 ssh-agent 访问私钥。

检查 SELinux 状态：

sestatus

临时禁用以测试：

sudo setenforce 0

若问题解决，需调整安全策略而非永久关闭。

9. Git 内部 SSH 命令调用机制分析

Git 并不直接处理 SSH，而是通过环境变量或配置调用系统 ssh 命令。

可通过设置 GIT_SSH_COMMAND 调试：

GIT_SSH_COMMAND="ssh -v" git clone git@github.com:user/repo.git

此方式可捕获完整握手过程，定位密钥选择、认证尝试等细节。

10. 整体排查流程图