我不理解几乎所有 SSH 加固都提到配置公钥

你观察得很仔细，这是个好问题👍

安全性好像并不接近

但是你的也足够安全，比如你的要破 100 年，私钥的得破 1000 年

你找 ai 问问密码学的问题吧

password 和 key
中文都叫密码，但是意义不同

你不懂 SSH 也不懂密码学 是这样的

能在 v 站看到这个帖子我也是开了眼了

私钥文件是可以加密码保护的

好处是本地一个私钥 对多服务器同一个公钥
万一某个服务器被黑 本地的私钥不用换

root 帐户用了超级复杂口令
你自己的登录帐户用了超级复杂口令
然后你同事那个能 sudo 的帐户用了 admin123
你配置了口令复杂度的 pam 策略
然后被所有其它同事一致骂

私钥的“私”，意思是只有你有这个密钥，不会发送出去

服务器用你的公钥加密的数据只有你能解密，就算是明文传输，也是安全的，任何人截获数据也没用 解密不了，中间人也不好使

为啥会觉得 16 位混合密码能打得过 rsa or ed25519 呢？那密码就不能泄漏了？
另外一个人不止可以有一个私钥的，你要是想，当然可以给不同等级的服务器用不同的私钥

安全性是接近的 ✓
但是时间线拉长，还是有点差异的
RSA (4096 位)＞ Ed25519 ＞ RSA (2048 位)＞随机密码

能理解你不喜欢使用公钥，但是面向所有人的教程：配置公钥，就完事了
只需要存储一个小文件就 ok ，不需要存储一个特别的“16 位以上大小写英文数字符号混合”
一个是自己都会记错
二是会顺手发给微信
三是人会撒谎
四是人会犯懒

简单地说，Ed25519 密钥拥有 256 bits 的安全性。在数学层面上，破解密钥的难度比破解 16 位密码高出天文数字级。

主要黑客也要衡量成本，破解难度高就知难而退了，而且公钥挑战失败的错误信息非常明显，不如去祸害别的密码登录的，btw ，fail2ban 这种防不了分布式攻击。如果有几万个 ip ，每个 IP 试一次，也很难将其封锁。

建议先了解一下 PGP ，然后在了解一下公钥交换后，最后看一下你自己提的问题。

额

多个复杂密码容易变成防自己，如果在电脑上或者密码管理器中保存密码，泄露风险不比泄露私钥低多少

关键词 Diffie–Hellman key exchange

建议粗略了解一下密码学。。。。在数学层面，安全性是天文数字的差距。

@adoal 你这个似乎也防不住同事泄露私钥吧

密码登陆的话是密码要发送到 ssh 服务器的，不会像常见的 web 服务那样发送 hash ，可以用 pam 模块拦截记录

这个知识点估计只有极少数人知道，一般用来后入侵横移

随机密码你总是要复制粘贴的，剪贴板的内容很容易不小心粘贴到错误的地方，监控剪贴板也比较容易

@wonderfulcxm 你这个分布式攻击确实，不过 16 位的混合密码，也存在 62 的 16 次方，这个数字也已经是天文数字了，我算了用 10W 设备每秒 100 次尝试，也需要 75 万年，这放到现实其实就是足够安全了吧，更何况这种尝试，我怕是服务器先被流量撑爆