VS Code/Antigravity Remote SSH 连接要求输入密码?明明已经配了 SSH 密钥

问题描述

SSH config 已经配置好了密钥登录:

复制代码
Host MyServer
  HostName xx.xx.xx.xx
  User root
  Port 22
  IdentityFile "C:\Users\onefly\.ssh\id_rsa"
  ForwardAgent yes

在 Git Bash 中 ssh MyServer 可以正常免密登录,但通过 VS Code Remote SSH 连接时却弹出密码输入框。

排查过程

1. 检查服务器端

  • ~/.ssh/authorized_keys 中已有对应公钥
  • ~/.ssh 权限 700,authorized_keys 权限 600
  • sshd_configPermitRootLogin yesPubkeyAuthentication 默认启用

服务器端一切正常。

2. 发现关键线索

查看 VS Code 的 Remote SSH 日志(输出面板 → Remote - SSH),发现关键错误:

复制代码
debug1: Offering public key: C:\\Users\\ranxi\\.ssh\\id_rsa RSA SHA256:xxxxx explicit
debug1: Server accepts key: C:\\Users\\ranxi\\.ssh\\id_rsa RSA SHA256:xxxxx explicit

Bad permissions. Try removing permissions for user: MSI\CodexSandboxUsers (S-1-5-21-xxxx) on file C:/Users/ranxi/.ssh/id_rsa.
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@         WARNING: UNPROTECTED PRIVATE KEY FILE!          @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
Permissions for 'C:\\Users\\ranxi\\.ssh\\id_rsa' are too open.
This private key will be ignored.
Load key "C:\\Users\\ranxi\\.ssh\\id_rsa": bad permissions
debug1: Next authentication method: password

服务器已经接受了密钥,但客户端在签名阶段拒绝使用它,因为私钥文件权限"太开放"。

3. 根本原因

VS Code Remote SSH 使用的是 Windows 自带的 OpenSSHC:\Windows\System32\OpenSSH\ssh.exe),而不是 Git Bash 自带的 OpenSSH。

两者的区别:

Git Bash OpenSSH Windows OpenSSH
路径 C:\Program Files\Git\usr\bin\ssh.exe C:\Windows\System32\OpenSSH\ssh.exe
权限检查 使用 POSIX 模拟,较宽松 使用 Windows ACL,严格检查

Windows OpenSSH 发现私钥文件被 CodexSandboxUsers 用户组拥有继承的读取权限((I)(RX)),认为不安全,直接拒绝使用密钥,fallback 到密码认证。

解决方案

PowerShell(管理员)CMD 中执行:

powershell 复制代码
icacls C:\Users\ranxi\.ssh\id_rsa /inheritance:r /grant ranxi:F /grant SYSTEM:F /grant Administrators:F

这条命令做了三件事:

  1. /inheritance:r --- 移除继承的权限(去掉 CodexSandboxUsers 等继承来的 ACL)
  2. /grant onefly:F --- 给当前用户完全控制权
  3. /grant SYSTEM:F /grant Administrators:F --- 保留系统和管理员权限

执行后验证:

powershell 复制代码
icacls C:\Users\ranxi\.ssh\id_rsa

输出应该只有:

复制代码
C:\Users\ranxi\.ssh\id_rsa BUILTIN\Administrators:(F)
                           NT AUTHORITY\SYSTEM:(F)
                           MSI\ranxi:(F)

没有 CodexSandboxUsers 了,重新连接 VS Code Remote SSH 即可免密登录。

总结

  • 现象:Git Bash SSH 正常,VS Code Remote SSH 要密码
  • 原因:两者用的是不同的 SSH 客户端,Windows OpenSSH 对私钥文件权限检查更严格
  • 修复:移除私钥文件上多余用户组的继承权限
相关推荐
ApacheSeaTunnel1 天前
为什么 Data Ingestion 还没有被 Fivetran/Airbyte 完全解决?
大数据·开源·数据集成·seatunnel·技术分享·数据同步·airbyte·fivetran
咖啡有点酷3 天前
Geo-Targeting 技术深度解析:IP定位与本地化投放实践
网络·技术分享
调试优选官6 天前
2026年上海地坪施工公司哪家好:从材料体系到交付能力的判断
经验总结·技术分享·上海
ApacheSeaTunnel10 天前
当多表数据涌入,Apache SeaTunnel 如何巧妙化解主键冲突?
大数据·开源·数据集成·seatunnel·技术分享·数据同步
调试优选官1 个月前
2026上海生成式引擎优化GEO服务商全景:能力模式与选择逻辑
人工智能·技术分享·geo·上海
调试优选官1 个月前
2026上海GEO优化公司技术能力解析:从监测架构到知识库落地
架构·技术分享·geo·上海
调试优选官1 个月前
2026年上海GEO优化公司全景透视:技术路线、选型逻辑与实施路径
人工智能·技术分享·geo·上海
调试优选官1 个月前
2026GEO优化工具软件技术路径拆解:从监测机制到工程落地
.net·软件开发·技术分享·geo
调试优选官1 个月前
2026上海生成式引擎优化公司业务:技术路线与服务能力图谱
大数据·人工智能·经验总结·技术分享·上海
调试优选官1 个月前
2026上海GEO生成式引擎优化服务商选型:从工具堆叠到系统能力
人工智能·技术分享·geo·上海