对于需要频繁连接同一台远程主机的场景，直接在本地 SSH 配置文件中启用 ControlMaster 是最稳妥的优化方案，它能避免重复的握手和认证开销。

命令速用版

最推荐的方式是修改用户级配置文件 ~/.ssh/config，避免每次手动输入参数。以下配置适用于大多数 Linux 发行版，注意 ControlPath 路径不宜过长：

Host *
    ControlMaster auto
    ControlPath ~/.ssh/cm/%L@%r@%h:%p
    ControlPersist 600

若用于 Ansible 等自动化工具，需在 ansible.cfg 的 [ssh_connection] 区块中注意转义符，例如 ControlPath=~/.ansible/cp/%%h-%%p-%%r。

原理简述

传统 SSH 每次连接都要完整走一遍 TCP 三次握手、密钥交换和用户认证，这个过程在高频场景下会累积成明显的延迟。ControlMaster 的核心思想是“一次建立，多次使用”：首次连接成功后，客户端会在本地创建一个 Unix 域套接字文件（Control Socket），后续对该主机的请求直接通过该通道派生新会话，跳过认证流程。这不仅减少了客户端的加密协商开销，也降低了服务端的公钥验证和 PAM 认证压力。

分步处理

1. 创建套接字目录
在启用配置前，必须先创建存放控制套接字的目录，否则连接会失败。执行以下命令：

mkdir -p ~/.ssh/cm
chmod 700 ~/.ssh/cm

2. 修改 SSH 配置
编辑 ~/.ssh/config 文件，添加上述“命令速用版”中的配置。建议按主机粒度配置，避免全局开启导致管理混乱。生产环境可将 ControlPersist 设为 300 至 600 秒，兼顾效率与资源回收。

3. 安全加固选项
为防止密钥泄露，建议额外添加以下参数：

ForwardAgent no
IdentitiesOnly yes

前者禁止代理转发，避免远程主机访问本地密钥；后者强制只使用配置指定的私钥。

验证与关闭

1. 检查套接字文件
连接一次目标主机后，查看目录内是否生成了 socket 文件：

ls -l ~/.ssh/cm/

若看到类似 user@host:22 的文件，说明主连接已建立。

2. 使用检查命令
执行以下命令查询主连接状态，若输出 master pid 则表示复用正常：

ssh -O check user@host

3. 观察登录速度
断开后再次连接，若几乎瞬间完成且无需输入密码，说明复用生效。实测显示在高频交互场景下，后续连接延迟显著降低，交互体验提升明显。

4. 手动关闭主连接
任务完成后，建议显式关闭控制主连接以释放资源：

ssh -O exit user@host

若未关闭且超过 ControlPersist 设定时间，连接也会自动断开。

常见坑

1. 路径长度限制
Unix Domain Socket 路径长度通常限制在 108 字节以内。若主机名过长，可能导致 socket 创建失败。建议缩短 ControlPath 目录层级，或使用 %L 等变量优化路径结构。

2. Ansible 配置转义
在 Ansible 配置文件中，ControlPath 的百分号需要双写（如 %%h），否则会被 Ansible 解析错误。同时需确保 control_path_dir 目录存在且权限正确。

3. 连接残留
若主连接异常断开，socket 文件可能残留导致新连接失败。可手动删除该文件或设置合理的 ControlPersist 超时时间自动清理。

4. 脚本中的阻塞风险
在自动化脚本中，ControlMaster auto 可能因等待主连接而阻塞。建议在初始化连接时显式指定 ControlMaster yes 明确开启主通道。

5. 权限问题
若提示权限错误，检查 ~/.ssh/config 是否存在同名 ControlPath 冲突项，并确保目录权限为 700。