L07-Linux配置ssh免密远程登录
本文配置可实现:集群服务器之间相互可以ssh免密登录。若只想从单一机器(如master)ssh免密登录其他机器(slave1、slave2),则只跟着操作到第二步即可。
建议先花两三分钟把全文看完再跟着步骤操作
操作步骤:
1.集群环境
1)服务器为:master、slave1和slave2;
2)操作系统为Centos7(实际测试其实在Centos6.5和红帽7和6.5版本都是可行的,其他系统没测试过)。
3)为接下来叙述方便,除了master,其他所有slave统称为slaveX
4)所有服务器的/etc/hosts文件中都添加了IP到主机名的映射,如下。
192.168.137.20 master 192.168.137.21 slave1 192.168.137.22 slave2
2.配置使得master上可免密登录slaveX
在master主机上执行以下命令。可以是非root用户,我操作时用的是hadoop用户。且根据我到目前为止的测试,用哪个用户来做配置,最后就只能通过那个用户实现免密登录,其他用户远程登录还是需要密码的。
2.1 切换到用户家目录下
cd ~
2.2 查看家目录下有无隐藏路径 .ssh。
如果没有,创建一个,此时需注意修改.ssh目录的权限为 700。
ls -al
2.3 进入到.ssh目录下
cd .ssh
2.4执行ssh-keygen命令生成公钥私钥
ssh-keygen -t rsa
注:
1)命令执行时连续敲3次回车符即可;
2)该命令将会用rsa算法在~/.ssh目录下生成私钥id_rsa和公钥id_rsa.pub。还有其他的加密算法比如dsa,使用dsa也是可以的。
3)有时候可能在网上看到有这种用法:ssh-keygen -t rsa -P '' -f ~/.ssh/id_rsa。其中,-P参数表示密码,-P '' 就表示空密码,用-P参数的话执行该命令时可以少敲2次回车;-f参数用于指定秘钥文件名,使用该参数可以少敲1次回车
2.5 把生成的公钥文件的内容追加到master的authorized_keys 文件中
ssh-copy-id -i ~/.ssh/id_rsa.pub master
注:
1)-i参数指定公钥文件
2)注意执行此命令之前authorized_keys文件可能并不存在,没关系,直接执行该命令就行,会自动生成的;也可以自己新建authorized_keys文件,此时需注意将文件权限修改为600;
3)除了ssh-copy-id命令,也可以用cat id_rsa.pub >> authorized_keys的方式将公钥内容追加到authorized_keys 文件中;或者手动编辑该文件使用复制粘贴的方式把内容追加进去也是可以的。
4)执行完该步骤之后在master上就可以通过ssh master命令免密登录自己了。(在这一步之前即使是通过ssh登录自己,也是每一次都需要手动输入密码的)
5)authorized_keys文件中的内容大致如下图:
图注:
1)图中的主机名跟文中描述的master、slaveX不一致,但是不影响对uthorized_keys 文件中内容格式的理解;
2)另外我截的这张图是用dsa算法生成的公钥内容,用rsa算法生成公钥内容跟这个差不多。
2.6 把master的公钥追加到slaveX的authorized_keys 文件中,之后master可免密登录slaveX
ssh-copy-id -i ~/.ssh/id_rsa.pub slaveX
3.配置使得slaveX可以免密登录集群中其他机器
经过上面第二步之后,在master上便已经可以ssh免密登录master、slaveX了,但是从slaveX上依然无法ssh免密登录其他机器(master、slaveX),若想使得slaveX也像master那样可以免密登录其他机器,则需要在slaveX上也执行第2步同样的步骤,即:在slaveX上生成自己的私钥公钥对,然后将它的公钥追加到其他机器的authorized_keys 文件中。
综上,若想配置集群服务器之间相互可以ssh免密登录,可以有以下两种方法:(两种方法的本质是一样的,只不过执行的过程步骤有些许不同)
方法一:一台一台服务器地按照第2步那样操作下去,直到所有机器都配置完成为止;
方法二:所有机器,包括master和slaveX,先分别用ssh-keygen -t rsa命令生成各自的私钥公钥对,接着用ssh-copy-id -i ~/.ssh/id_rsa.pub master命令将master和slaveX的公钥都追加到master的authorized_keys 文件中,当全部追加完毕之后,master的authorized_keys 文件中便已有集群中所有服务器(包括master自己和其他slave)的公钥信息了(可知此时集群中所有机器都可免密ssh登录master了),它是一份完整的公钥信息文件,这个时候再用scp命令将master上的authorized_keys依次发送到各个slave的~/.ssh/目录下(scp命令示例:scp ~/.ssh/authorized_keys hadoop@node01:~/.ssh/)。如此,便使得整个集群相互之间都可以免密ssh登录了。
至于下面这一步,在网上查询资料时在个别博文中看到操作中有这步,我操作时没有配置这项,我不知道它对结果有什么影响,因为我没有做这步配置也使得ssh免密登录成功了。如果一定要配置的话,则是在第2步执行之前完成这项配置。
集群中的每台主机上
sudo vim /etc/ssh/sshd_config
开启下面的选项
RSAAuthentication yes //允许用RSA密钥进行身份验证
PubkeyAuthentication yes //允许用公钥进行身份验证
AuthorizedKeysFile .ssh/authorized_keys //本机保存的公钥的文件(这个比较重要)
对于/etc/ssh/sshd_config文件,网上查询到的建议:『除非有必要,否则请不要更改 /etc/ssh/sshd_config 这个档案的设定值!』因为预设的情况下通常都是最严密的 SSH 保护了,因此,可以不需要更动他!