ssh免密登录

ssh免登录原理

      使用一种被称为"公私钥"认证的方式来进行ssh登录.首先在客户端上创建一对公私钥(公钥文件:~/.ssh/id_rsa.pub;私钥文件:~/.ssh/id_rsa),然后把公钥放到服务器上(~/.ssh/authorized_keys), 自己保留好私钥,当ssh登录时,ssh程序会发送私钥去和服务器上的公钥做匹配.如果匹配成功就可以登录了。

一.创建hadoop用户,授权

1. 以root用户分别登录各服务器。  

2. 创建用户,并设置用户密码。   

     useradd -d /home/hadoop   hadoop    

     passwd hadoop

3. a)为“hadoop ”赋予“sudo”权限,添加“/etc/sudoers”文件的写权限。  

     chmod u+w /etc/sudoers  

  b) vi编辑“/etc/sudoers”文件,在“root ALL=(ALL) ALL”后添加语句,如下所示。   

     root  ALL=(ALL)   ALL <strong>  hadoop ALL=(ALL)   ALL</strong>  

  c) 删除“/etc/sudoers”文件的写权限。  

     chmod u-w /etc/sudoers 

二.配置ssh服务器

/etc/ssh/ssh_config文件中将如下配置前的#号去掉

#禁用root账户登录,如果是用root用户登录请开启

PermitRootLogin yes

# 是否让 sshd 去检查用户家目录或相关档案的权限数据,

# 这是为了担心使用者将某些重要档案的权限设错,可能会导致一些问题所致。

# 例如使用者的 ~.ssh/ 权限设错时,某些特殊情况下会不许用户登入

StrictModes no

# 是否允许用户自行使用成对的密钥系统进行登入行为,仅针对 version 2。

# 至于自制的公钥数据就放置于用户家目录下的 .ssh/authorized_keys 内

RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile      .ssh/authorized_keys

#有了证书登录了,就禁用密码登录吧,安全要紧

PasswordAuthentication no

三.配置免登录

网络拓扑:

  192.168.3.7(ssh服务器)--------------------192.168.3.19

1)创建或修改密钥目录权限,hadoop用户登录各服务器。

  mkdir  /home/hadoop/.ssh   
   chmod 755 /home/hadoop /.ssh  

2)登录ssh服务器,创建公钥和私钥,并copy公钥到被ssh登录服务器。(此操作在所有服务器完成之前设置后再进入)  

   cd /home/hadoop/.ssh  
   ssh-keygen -t rsa    #在192.168.3.19上执行,如果提示,就一直按“Enter”键,直至生成公钥。       
   scp id_rsa.pub hadoop@192.168.3.7:/home/hadoop/.ssh/authorized_keys_from_hadoop19

3)登录172.19.3.7,查看/home/hadoop/.ssh/目录下有一个authorized_keys_from_hadoop19文件 ,将文件合并至authorized_keys文件中。

cat authorized_keys_from_hadoop19 >> authorized_keys  

4)验证

192.168.3.19.上 ssh登录192.168.3.7.

ssh hadoop@192.168.3.7

免密登录验证成功。

如果验证失败:

192.168.3.7上调试:ssh –v hadoop@192.168.3.19

192.168.3.19上查看日志文件/var/log/sercure,发现为权限问题

Chmod 700 /home/hadoop/.ssh
Chmod 600 /home/hadoop/.ssh/*

 

如果ssh登录超时不通,可修改配置/etc/ssh/sshd_config

UsePAM no

重启ssh服务再试一次。

 

注意:

    1.配置免登录前,请确保网络环境达到要求(后续内容有详细说明)  

    2.免登录其实是在本机生成两把锁,一把所谓的公钥是放到要登录的那台服务器上的,其实是一串文本。

    3.被登录的服务器上只会有一个公钥文件,叫authorized_keys。如果被登录的服务器有多个客户端要连上来,就会把每个文本密钥存成一行。  

    4.客户端发送到服务器端的密钥文件一定要放到登录用户主目录的~/.ssh这个隐藏目录下,  比如用hadoop用户登录到192.168.3.7服务器,如果hadoop的主目录是/home/hadoop,那么,密钥文件一定是在/home/hadoop/.ssh/下  

    5.如果直接将authorized_keys的文件从客户端通过scp方式发送到服务器端,会覆盖原来的文件,对其他用户有影响,所以发送时要进行改名后合并。

   

 

posted @ 2019-07-25 18:27  Sunmer09  阅读(713)  评论(0编辑  收藏  举报