深色模式
添加第一台服务器
Reeve 支持三种 SSH 认证方式:密码、私钥、SSH-Agent。本章按场景挑一种。
操作入口
主界面左侧导航 → 服务器清单 → 右上 新增服务器 按钮。
通用字段
每种认证方式都要填的:
| 字段 | 示例 | 说明 |
|---|---|---|
| 别名 | prod-web | 显示名 + AI 唯一标识。AI 永远只看到别名,不知道 IP 也不知道用户名 |
| 主机 | 1.2.3.4 / vps.example.com | IP 或域名都行 |
| 端口 | 22 | 默认 22 |
| 用户名 | root / ubuntu / deploy | 登录账号 |
| 标签 | prod, web | 多个标签用逗号;列表可按标签过滤 |
| 分组 | 拖到分组里 | 分组色条标识环境(生产 / 测试 / 开发) |
方式一:密码认证
最简单:
- 认证方式选「密码」
- 输入密码 → 点保存
密码在保存的瞬间被 AES-256-GCM 加密,明文不存任何位置。
密码认证的安全建议
- 用强密码(至少 16 位混合)
- 服务器侧禁用 root 密码登录,给 Reeve 单独建一个低权账号
- 启用 Reeve 主密码(设置 → 主密码与应用锁定)
方式二:私钥认证(推荐)
- 认证方式选「私钥」
- 把 OpenSSH 格式的私钥整段粘贴(含
-----BEGIN OPENSSH PRIVATE KEY-----头尾) - 如果私钥有 passphrase,填入「私钥密码」
- 保存
支持的私钥格式:
- OpenSSH(推荐):
-----BEGIN OPENSSH PRIVATE KEY----- - PEM (RSA / EC / Ed25519):
-----BEGIN RSA PRIVATE KEY-----等
私钥与 passphrase 都立刻 AES-256-GCM 加密入库。
生成新私钥
如果你还没有 SSH 密钥对:
bash
# 推荐 Ed25519(更短更快更安全)
ssh-keygen -t ed25519 -C "reeve-on-mylaptop"
# 或经典 RSA
ssh-keygen -t rsa -b 4096 -C "reeve-on-mylaptop"生成在 ~/.ssh/id_ed25519(私钥)+ ~/.ssh/id_ed25519.pub(公钥)。
把公钥追加到服务器 ~/.ssh/authorized_keys:
bash
ssh-copy-id -i ~/.ssh/id_ed25519.pub user@host然后在 Reeve 里粘贴私钥内容。
方式三:SSH-Agent
如果你已经在用 ssh-agent(或 1Password / Bitwarden 等密码管理器的 SSH-Agent 集成):
- 认证方式选「SSH-Agent」
- 不需要填任何凭据
- 保存 → Reeve 在连接时自动跟 ssh-agent 通信拉私钥
适合场景
- 公司用统一的 1Password SSH-Agent
- 已经习惯
ssh-add工作流 - 不想把私钥再粘贴一次到 Reeve
批量导入 ~/.ssh/config
如果你已经有完整的 ~/.ssh/config:
- 服务器清单页 → 右上「···」→ 从 ~/.ssh/config 导入
- 选择要导入的 Host 条目
- 自动载入 IdentityFile / ProxyJump 等信息
测试连接
服务器行点 测试连接:
- ✅ 成功:显示延迟(如
34 ms)+ 主机公钥指纹 - ❌ 失败:错误原因(认证失败 / 网络不通 / 端口被防火墙拦等)
首次连接:TOFU 主机指纹
首次成功连接时,Reeve 会自动固定主机的公钥指纹(Trust On First Use)。后续连接严格校验:
- 指纹一致 → 正常连接
- 指纹不一致 → 拒绝连接,弹窗警告
这是防中间人攻击的标配机制。
服务器重装了怎么办
服务器重装后主机公钥会变。需要:
- 在服务器列表行点 重置主机指纹
- 确认弹窗
- 下次连接重新固定新指纹
服务器右键 / 操作菜单
每个服务器行有这些动作:
| 动作 | 用途 |
|---|---|
| 在终端打开 | 切到交互式终端页 + 自动连接 |
| SFTP 打开 | 切到文件管理页 + 自动连接 |
| 执行命令 | 弹一次性命令对话框(不打开终端) |
| 隧道 | 进入端口转发管理 |
| 服务凭据 | 看 AI 装好的服务(服务凭据) |
| 编辑 | 修改服务器配置 |
| 删除 | 软删,凭据密文保留审计追溯期 |
高级:给服务器单独配 AI 策略
每台服务器可以单独配 AI 策略档位:
- 生产库 → Disabled(AI 完全访问不了)
- 测试机 → Approval(每次审批)
- 开发机 → Trusted(自动放行)
详见 AI 五档策略。
高级:AI 专用账号
如果想给 AI 一个低权账号(限制能做的事):
- 字段「AI 用户名」填一个不同于运维账号的用户(例如
reeve-ai) - 在服务器侧用 sudoers + rbash 把它关进笼子
- AI 调
ssh_exec时自动用这个账号;人用终端还是原始账号
详见仓库 docs/ai-account-setup.md。