我帮你梳理一套完全匹配你需求的方案——不用ssh-agent，靠PAM结合fingerprintd解锁专属服务私钥，同时适配ssh、scp、git（包括拉取代码和签名提交）这些场景，基于你提到的OpenSSH 9.2+版本：

第一步：配置PAM指纹认证服务 #

首先我们要给私钥解锁单独建一个PAM规则，让OpenSSH知道调用fingerprintd来验证指纹。

1. 先确保系统装了pam_fprintd模块（主流发行版比如Ubuntu、Fedora直接装libpam-fprintd包就行），并且用fprintd-enroll录好你的指纹（可以先给某个系统登录场景开指纹验证，测试一下功能是否正常）。
2. 创建PAM配置文件/etc/pam.d/ssh-key-unlock，内容如下：

# 优先用指纹验证，失败的话 fallback 到密码（可选，根据你需求调整）
auth    sufficient  pam_fprintd.so
auth    required    pam_unix.so

如果你只想用指纹（不需要密码备选），删掉第二行，只留第一行即可。

第二步：给专属私钥设置PAM解锁密码 #

接下来要把你的每个服务专属私钥的“密码”改成PAM认证标识，这样OpenSSH读取私钥时会自动调用指纹验证，而不是弹密码输入框：
针对每个服务私钥，执行命令：

ssh-keygen -p -f ~/.ssh/你的服务专属私钥文件名

• 先输入私钥原来的密码（如果之前没设密码，直接回车）
• 然后新密码输入pam:ssh-key-unlock（这里的ssh-key-unlock就是我们刚才创建的PAM服务名）
• 确认密码的时候再输一遍同样的内容就行。

第三步：调整SSH客户端配置（确保禁用ssh-agent） #

在你的~/.ssh/config里，给每个Host条目加上这两行，确保完全禁用ssh-agent，只走PAM指纹解锁：

Host 你的服务标识
  IdentityFile ~/.ssh/你的服务专属私钥文件名
  IdentityAgent none  # 强制禁用ssh-agent，避免干扰

第四步：适配git场景 #

不管是git拉取/推送（底层用ssh）还是签名提交，都能自动适配：

• 对于拉取推送：只要git远程地址用的是对应服务的ssh链接，会自动复用你~/.ssh/config里的配置，触发指纹验证。
• 对于签名提交：如果你已经用git config --local user.signingkey=/home/user/.ssh/你的专属私钥配置了签名密钥，当你执行git commit -S时，git会调用ssh-keygen来签名，这个工具会识别私钥的PAM密码标识，自动触发指纹验证，完全不需要手动输密码。

注意事项 #

• 一定要保证私钥和~/.ssh目录的权限正确：~/.ssh设为700，私钥文件设为600，否则OpenSSH会拒绝使用。
• 如果指纹验证失败（比如手指没放对），按照我们的PAM配置会自动 fallback 到密码输入，符合你之前“最后确认步骤”的需求。

备注：内容来源于stack exchange，提问作者gcb