來源:https://www.jb51.net/article/95418.htm
配置SSH無登陸驗證,在很多場景下是非常方便的,尤其是在管理大型集群服務時,避免了繁瑣的密碼驗證,在安全級別越高的服務器上,通常密碼的設置更復雜,配置SSH,不僅可以用密鑰保證節點間通信的安全性,同時也降低了頻繁輸入密碼登陸的耗時,大大提高了管理效率。
原理簡介
為了便于理解,假設需要在hadoop148這臺機器上可以通過無密碼登錄的方式連接到hadoop107上。
首先在 hadoop148上生成一個密鑰對,包括一個公鑰和一個私鑰,并將公鑰復制到hadoop107上。
然后當 hadoop148通過SSH連接hadoop107機器時, hadoop107機器 就會生成一個隨機數并用 hadoop148的公 鑰對隨機數進行加密,并發送給 hadoop148。
最后 hadoop148收到加密數之后再用私 鑰解密,并將解密數回傳給hadoop107, hadoop107確認解密數無誤之后就允許hadoop148不 輸入密碼進行連接了
配置
具體步驟
1 、 登錄hadoop148,執行命令 ssh-keygen -t rsa 之后一路回 車,查看剛生成的無密碼鑰對: cd .ssh 后 執行 ll
2 、把 id_rsa.pub 追加到授權的 key 里面去。 執行命令 cat ~/.ssh/id_rsa.pub >>~/.ssh/authorized_keys
3 、修改權限: 執行 chmod 600 ~/.ssh/authorized_keys
常見問題
問題現象:
hadoop148機器已經生產rsa密鑰
且已經將public key添加到serverB機器/root/.ssh/authorized_keys
但是ssh root@hadoop107機器時仍然需要輸入密碼,即無密碼認證失敗,
分析與處理:
第一步:查看權限
用ssh -v debug訪問,日志如下,但是從日志看不到失敗原因,只知道在用publickey認證時,對端沒有reply;
再查看/var/log/secure日志
發現所有用戶的HOME目錄應該是700權限,否則會引起很多問題,這個問題同樣是由于這個原因
最終,執行chmod 700 root后解決
關于權限問題總結如下:
1) .ssh目錄的權限必須是700
2) 用戶目錄的權限必須是700,比如我是用root用戶操作的,則/root的權限必須是700
3) .ssh/authorized_keys文件權限必須是600
第二步:查看安全上下文
如果通過改變權限還不能解決問題,可以嘗試如下方法:
首先用ls -laZ檢查了一下.ssh目錄,果然不是ssh_home_t,則需要使用restorecon命令對.ssh目錄的context進行恢復。命令是:restorecon -r -vv /root/.ssh
第三步:分析/var/log/audit/audit.log日志
修改目錄用戶權限
chown -R root.root /root
