SSH 密码保护的私钥仍然可见

加密密钥（受密码保护）和非加密密钥之间存在差异。所有密钥仍然是明文文件。下面我生成了一个密钥，没有密码，然后通过添加密码来保护它，你可以看到磁盘上文件的内容有何不同：

$ ssh-keygen -f ./id_example
Generating public/private rsa key pair.
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in ./id_example.
Your public key has been saved in ./id_example.pub.
The key fingerprint is:
SHA256:q1soNjAdOS7sEu/268wb/F0ULMB7a2tmr/n+089Ksu0 user@host
The key's randomart image is:
+---[RSA 2048]----+
|     ..          |
|     ... .       |
|    +  .. o      |
| . o o. .. .     |
|. = o  .S..      |
| + =   .oo       |
|. o * ..o.. ...  |
| o.+ = +=o  .=.. |
| ..oBo+=+=+.ooEoo|
+----[SHA256]-----+
$ cat id_example
-----BEGIN RSA PRIVATE KEY-----
MIIEogIBAAKCAQEArxyeUk2lJ+pkW2bHXJNFUfWz1z3glvOsHSUxUQjx8leKIKRu
[hash truncated fro brevity]
hGWfADUrb5nV5Do/mcjBHQDCjrfCpzPHkNrTaZLs4JDxdhX4G0s=
-----END RSA PRIVATE KEY-----
$ ssh-keygen -p -f ./id_example
Enter new passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved with the new passphrase.
$ cat id_example
-----BEGIN RSA PRIVATE KEY-----
Proc-Type: 4,ENCRYPTED
DEK-Info: AES-128-CBC,764EDE56E9A89905CD447F1DEF5ED1AB

uVjfs7qu4a7RMvycvpvtJA0UUG5UtkZ+eY6ppmxL7oA/54qM/7S5bvgOT1hM0wL+
[hash truncated for brevity]
FHCAmqC29+FPHxqG19tII7ndYYU6YDpCQHjUN0TaAI7ikwSmjTiNBfXEZodaHblr
-----END RSA PRIVATE KEY-----

实际密钥是相同的，但密钥代理将无法使用后一个密钥，直到我用我的密码解锁它。无论哪种方式，我都拥有该文件，并且它必须存在于磁盘上，这意味着它可以显示（例如使用cat）。

您还可以看到，当我显示修改后的密钥时，它明确表明它已加密。

您将始终能够（并且需要）“查看”您的私钥文件的内容，但它是加密的，因此看起来应该是乱码。您需要确保只有您（即您的用户 ID）可以看到它。为此，您需要：

chmod go-rwx ./id_ed25519

此外，您可能希望将私钥保存在它们自己的目录中，以便您也可以对该目录进行 chmod。