💎 GemOS | Termux SSH 自動化與安全防禦智慧資產知識庫

1. 核心挑戰與底層障礙分析

本 Session 核心解決了在 Windows Terminal (Nushell) 環境下，透過金鑰憑證（Public Key Authentication）免密碼互連 Android Termux 時遭遇的跨平台連線障礙。其技術障礙與解決方案的底層邏輯如下：

遭遇症狀根因剖析 (Root Cause) 解決方案原理

寫入憑證後仍持續索取密碼 Windows 管線流（如 Get-Content 或 cat）在傳輸字串時，會自動附帶隱藏的 BOM 表頭或 Windows 特有的換行符號（CRLF），導致 Termux OpenSSH 解析金鑰雜湊失敗。利用 Nushell 原生 open 讀取檔案，並串接 str trim 函數，在記憶體中完全清洗並剔除背端所有換行字元，確保傳遞至手機的是絕對純淨的單行字串。

重啟服務時發生 Address already in use 在 Android 系統權限限制下，標準 pkill sshd 有時無法完全回收通訊埠，導致舊的 sshd 守護程序（Daemon）持續鎖定 8022 埠，新設定無法套用。祭出強制訊號 killall -9 sshd，從核心層級物理超渡所有殘留程序，確保通訊埠完全釋放以載入全新的配置。

SSH 安全機制刁難目錄權限 OpenSSH 擁有極其嚴苛的權限自我保護機制（Strict Modes）。Android 系統的家目錄與用戶組架構並非標準 Linux 設計，常被 sshd 誤判為不安全而拒絕採信金鑰。除了標準執行 chmod 700 外，在啟動 sshd 時動態注入 -o StrictModes=no 參數，徹底放寬對 Android 特殊用戶組目錄結構的刻板安全判定。

遭遇症狀	根因剖析 (Root Cause)	解決方案原理
寫入憑證後仍持續索取密碼	Windows 管線流（如 `Get-Content` 或 `cat`）在傳輸字串時，會自動附帶隱藏的 BOM 表頭或 Windows 特有的換行符號（`CRLF`），導致 Termux OpenSSH 解析金鑰雜湊失敗。	利用 Nushell 原生 `open` 讀取檔案，並串接 `str trim` 函數，在記憶體中完全清洗並剔除背端所有換行字元，確保傳遞至手機的是絕對純淨的單行字串。
重啟服務時發生 Address already in use	在 Android 系統權限限制下，標準 `pkill sshd` 有時無法完全回收通訊埠，導致舊的 `sshd` 守護程序（Daemon）持續鎖定 8022 埠，新設定無法套用。	祭出強制訊號 `killall -9 sshd`，從核心層級物理超渡所有殘留程序，確保通訊埠完全釋放以載入全新的配置。
SSH 安全機制刁難目錄權限	OpenSSH 擁有極其嚴苛的權限自我保護機制（Strict Modes）。Android 系統的家目錄與用戶組架構並非標準 Linux 設計，常被 `sshd` 誤判為不安全而拒絕採信金鑰。	除了標準執行 `chmod 700` 外，在啟動 `sshd` 時動態注入 `-o StrictModes=no` 參數，徹底放寬對 Android 特殊用戶組目錄結構的刻板安全判定。

2. 現役本機端 (EraserR9) Nushell 一鍵修復指令

若未來連線因不可抗力產生異常，直接在 Windows 本地端的 Nushell 視窗中，依序複製並執行以下兩行高度管道化的指令：

一、精準清洗並寫入憑證（覆蓋模式）

open ~/.ssh/id_ed25519.pub | str trim | ssh u0_a195@u11 -p 8022 "cat > ~/.ssh/authorized_keys"

二、遠端環境清洗與放寬模式重啟

ssh u0_a195@u11 -p 8022 "chmod 700 ~ && chmod 700 ~/.ssh && chmod 600 ~/.ssh/authorized_keys && killall -9 sshd; sshd -o StrictModes=no"

⚙️ 宿主機快捷別名優化：
已將 IP 位址（100.120.102.74）全面升級為 Tailscale MagicDNS 別名 u11。建議在 Windows Nushell 設定檔中執行以下指令注入永久別名，往後只需在終端機輸入 phone 即可秒登：

"alias phone = ssh u0_a195@u11 -p 8022" | save --append $nu.config-path

3. 未來擴充新電腦 (masonsp9) 追加信任 SOP

當未來需要擴充第二台 Windows 宿主機 masonsp9 時，SSH 信任關係為一對一鏈結，請勿重新執行第一步的覆蓋指令。請在新電腦的 Nushell 中遵循以下精準步驟：

在新電腦生成全新非對稱加密 Ed25519 金鑰對：（一路狂按 Enter 到底，切勿輸入金鑰密碼短語）
```
ssh-keygen -t ed25519
```
將新電腦公鑰「追加」至手機：（採用 >> 追加管道，同時保留舊電腦與新電腦的信任通行權）
```
open ~/.ssh/id_ed25519.pub | str trim | ssh u0_a195@u11 -p 8022 "cat >> ~/.ssh/authorized_keys"
```

4. Git 版本控制防禦機制與資安邊界評估

若將此自動化架構或相關腳本同步至 GitHub 等公開儲存庫，必須嚴格區分公開與機密邊界，防止身分憑證遭到全網爬蟲側錄：

🚨 絕對不可進 Git 的核心機密 (應受保密) 🟢 允許安全進 Git 的公開資訊 (完全去識別化)

🚨 絕對不可進 Git 的核心機密 (應受保密)	🟢 允許安全進 Git 的公開資訊 (完全去識別化)
極度機密 Windows 端私鑰本體：位於 `~/.ssh/id_ed25519` 的檔案。這是你的最高數位簽章，任何人獲取此檔案即可無視密碼直接接管手機終端。極度機密明碼密碼：絕對禁止將 Termux 的明碼帳密以變數或註解形式硬編碼（Hardcode）在任何公開腳本中。	安全公開 Tailscale MagicDNS 別名： `u11`。此別名僅在你的私有加密虛擬網路（Tailnet）網域內具備解析能力。外部駭客即使獲取此代號，亦完全無法進行任何實體網路路由與觸達，具備極高的安全隱蔽性。安全公開公鑰鎖頭： `id_ed25519.pub` 與手機端 `authorized_keys` 內容。基於非對稱加密數學特性，單純洩漏公鑰絕對無法反推出私鑰。

極度機密 Windows 端私鑰本體： 位於 ~/.ssh/id_ed25519 的檔案。這是你的最高數位簽章，任何人獲取此檔案即可無視密碼直接接管手機終端。
極度機密 明碼密碼： 絕對禁止將 Termux 的明碼帳密以變數或註解形式硬編碼（Hardcode）在任何公開腳本中。

安全公開 Tailscale MagicDNS 別名： u11。此別名僅在你的私有加密虛擬網路（Tailnet）網域內具備解析能力。外部駭客即使獲取此代號，亦完全無法進行任何實體網路路由與觸達，具備極高的安全隱蔽性。
安全公開 公鑰鎖頭： id_ed25519.pub 與手機端 authorized_keys 內容。基於非對稱加密數學特性，單純洩漏公鑰絕對無法反推出私鑰。

🛡️ 工業級防禦實踐

A. 配置專案根目錄 .gitignore： 強制 Git 核心完全無視金鑰及本地環境變數檔案。

# 強制防禦金鑰與敏感配置流出
.ssh/
id_ed25519
*.pub
authorized_keys
config.nu
.env

B. 變數動態抽離（Environment Variables）： 拒絕硬編碼，將動態資訊託管於宿主機本地環境變數，腳本內採動態讀取：

# Nushell 動態環境變數引用範例
let target_node = $env.MY_TAILSCALE_NODE  # 系統動態載入 u11，代碼不留任何痕跡