配置SSH無(wú)登陸驗(yàn)證，在很多場(chǎng)景下是非常方便的，尤其是在管理大型集群服務(wù)時(shí)，避免了繁瑣的密碼驗(yàn)證，在安全級(jí)別越高的服務(wù)器上，通常密碼的設(shè)置更復(fù)雜，配置SSH，不僅可以用密鑰保證節(jié)點(diǎn)間通信的安全性，同時(shí)也降低了頻繁輸入密碼登陸的耗時(shí)，大大提高了管理效率。

原理簡(jiǎn)介

為了便于理解，假設(shè)需要在hadoop148這臺(tái)機(jī)器上可以通過(guò)無(wú)密碼登錄的方式連接到hadoop107上。

首先在 hadoop148上生成一個(gè)密鑰對(duì)，包括一個(gè)公鑰和一個(gè)私鑰，并將公鑰復(fù)制到hadoop107上。

然后當(dāng) hadoop148通過(guò)SSH連接hadoop107機(jī)器時(shí)， hadoop107機(jī)器 就會(huì)生成一個(gè)隨機(jī)數(shù)并用 hadoop148的公 鑰對(duì)隨機(jī)數(shù)進(jìn)行加密，并發(fā)送給 hadoop148。

最后 hadoop148收到加密數(shù)之后再用私 鑰解密，并將解密數(shù)回傳給hadoop107， hadoop107確認(rèn)解密數(shù)無(wú)誤之后就允許hadoop148不 輸入密碼進(jìn)行連接了

配置

具體步驟

1 、 登錄hadoop148,執(zhí)行命令 ssh-keygen -t rsa 之后一路回 車，查看剛生成的無(wú)密碼鑰對(duì)： cd .ssh 后 執(zhí)行 ll

2 、把 id_rsa.pub 追加到授權(quán)的 key 里面去。 執(zhí)行命令 cat ~/.ssh/id_rsa.pub >>~/.ssh/authorized_keys

3 、修改權(quán)限： 執(zhí)行 chmod 600 ~/.ssh/authorized_keys

常見(jiàn)問(wèn)題

問(wèn)題現(xiàn)象：

hadoop148機(jī)器已經(jīng)生產(chǎn)rsa密鑰

且已經(jīng)將public key添加到serverB機(jī)器/root/.ssh/authorized_keys

但是ssh root@hadoop107機(jī)器時(shí)仍然需要輸入密碼，即無(wú)密碼認(rèn)證失敗，

分析與處理： 

第一步：查看權(quán)限

用ssh -v debug訪問(wèn)，日志如下，但是從日志看不到失敗原因，只知道在用publickey認(rèn)證時(shí)，對(duì)端沒(méi)有reply;

再查看/var/log/secure日志

發(fā)現(xiàn)所有用戶的HOME目錄應(yīng)該是700權(quán)限，否則會(huì)引起很多問(wèn)題，這個(gè)問(wèn)題同樣是由于這個(gè)原因

最終，執(zhí)行chmod 700 root后解決

關(guān)于權(quán)限問(wèn)題總結(jié)如下：

1) .ssh目錄的權(quán)限必須是700

2) 用戶目錄的權(quán)限必須是700，比如我是用root用戶操作的，則/root的權(quán)限必須是700

3) .ssh/authorized_keys文件權(quán)限必須是600

第二步：查看安全上下文

如果通過(guò)改變權(quán)限還不能解決問(wèn)題，可以嘗試如下方法：

首先用ls -laZ檢查了一下.ssh目錄，果然不是ssh_home_t，則需要使用restorecon命令對(duì).ssh目錄的context進(jìn)行恢復(fù)。命令是：restorecon -r -vv /root/.ssh

第三步：分析/var/log/audit/audit.log日志

修改目錄用戶權(quán)限

chown -R root.root /root