ssh免密登录

ssh免登录原理

      使用一种被称为"公私钥"认证的方式来进行ssh登录.首先在客户端上创建一对公私钥（公钥文件：~/.ssh/id_rsa.pub；私钥文件：~/.ssh/id_rsa），然后把公钥放到服务器上（~/.ssh/authorized_keys）, 自己保留好私钥，当ssh登录时,ssh程序会发送私钥去和服务器上的公钥做匹配.如果匹配成功就可以登录了。

一．创建hadoop用户,授权

1. 以root用户分别登录各服务器。  

2. 创建用户，并设置用户密码。   

     useradd -d /home/hadoop   hadoop    

     passwd hadoop

3. a)为“hadoop ”赋予“sudo”权限，添加“/etc/sudoers”文件的写权限。  

     chmod u+w /etc/sudoers  

  b) vi编辑“/etc/sudoers”文件,在“root ALL=（ALL） ALL”后添加语句，如下所示。   

     root  ALL=(ALL)   ALL <strong>  hadoop ALL=(ALL)   ALL</strong>  

  c) 删除“/etc/sudoers”文件的写权限。  

     chmod u-w /etc/sudoers 

二．配置ssh服务器

在/etc/ssh/ssh_config文件中将如下配置前的#号去掉

#禁用root账户登录，如果是用root用户登录请开启

PermitRootLogin yes

# 是否让 sshd 去检查用户家目录或相关档案的权限数据，

# 这是为了担心使用者将某些重要档案的权限设错，可能会导致一些问题所致。

# 例如使用者的 ~.ssh/ 权限设错时，某些特殊情况下会不许用户登入

StrictModes no

# 是否允许用户自行使用成对的密钥系统进行登入行为，仅针对 version 2。

# 至于自制的公钥数据就放置于用户家目录下的 .ssh/authorized_keys 内

RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile      .ssh/authorized_keys

#有了证书登录了，就禁用密码登录吧，安全要紧

PasswordAuthentication no

三．配置免登录

网络拓扑：

　　192.168.3.7（ssh服务器）--------------------192.168.3.19

1）创建或修改密钥目录权限，hadoop用户登录各服务器。

　　mkdir  /home/hadoop/.ssh   
   chmod 755 /home/hadoop /.ssh  

2）登录ssh服务器，创建公钥和私钥，并copy公钥到被ssh登录服务器。（此操作在所有服务器完成之前设置后再进入）  

   cd /home/hadoop/.ssh  
   ssh-keygen -t rsa    #在192.168.3.19上执行，如果提示，就一直按“Enter”键，直至生成公钥。       
   scp id_rsa.pub hadoop@192.168.3.7:/home/hadoop/.ssh/authorized_keys_from_hadoop19

3）登录172.19.3.7，查看/home/hadoop/.ssh/目录下有一个authorized_keys_from_hadoop19文件 ，将文件合并至authorized_keys文件中。

cat authorized_keys_from_hadoop19 >> authorized_keys  

4）验证

在192.168.3.19.上 ssh登录192.168.3.7.

ssh hadoop@192.168.3.7

免密登录验证成功。

如果验证失败：

在192.168.3.7上调试：ssh –v hadoop@192.168.3.19

在192.168.3.19上查看日志文件/var/log/sercure，发现为权限问题

Chmod 700 /home/hadoop/.ssh
Chmod 600 /home/hadoop/.ssh/*

如果ssh登录超时不通，可修改配置/etc/ssh/sshd_config

UsePAM no

重启ssh服务再试一次。

注意：

    1.配置免登录前，请确保网络环境达到要求(后续内容有详细说明)  

    2.免登录其实是在本机生成两把锁，一把所谓的公钥是放到要登录的那台服务器上的，其实是一串文本。

    3.被登录的服务器上只会有一个公钥文件，叫authorized_keys。如果被登录的服务器有多个客户端要连上来，就会把每个文本密钥存成一行。  

    4.客户端发送到服务器端的密钥文件一定要放到登录用户主目录的~/.ssh这个隐藏目录下，  比如用hadoop用户登录到192.168.3.7服务器，如果hadoop的主目录是/home/hadoop,那么，密钥文件一定是在/home/hadoop/.ssh/下  

    5.如果直接将authorized_keys的文件从客户端通过scp方式发送到服务器端，会覆盖原来的文件，对其他用户有影响，所以发送时要进行改名后合并。