Linux下配置SSH建立信任 免密登录

最新推荐文章于 2023-11-29 15:39:35 发布
最新推荐文章于 2023-11-29 15:39:35 发布
阅读量682 收藏 1
点赞数 1
分类专栏: 运维技术与工具
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bbwangj/article/details/78053708
版权

在搭建Linux集群服务的时候,主服务器需要启动从服务器的服务,如果通过手动启动,集群内服务器几台还好,要是像阿里1000台的云梯hadoop集群的话,轨迹启动一次集群就得几个工程师一两天时间,是不是很恐怖。如果使用免密登录,主服务器就能通过程序执行启动脚步,自动帮我们将从服务器的应用启动。而这一切就是建立在ssh服务的免密码登录之上的。所以要学习集群部署,就必须了解linux的免密码登录。

原理
     使用一种被称为"公私钥"认证的方式来进行ssh登录. "公私钥"认证方式简单的解释是
首先在客户端上创建一对公私钥 (公钥文件:~/.ssh/id_rsa.pub; 私钥文件:~/.ssh/id_rsa)
然后把公钥放到服务器上(~/.ssh/authorized_keys), 自己保留好私钥
当ssh登录时,ssh程序会发送私钥去和服务器上的公钥做匹配.如果匹配成功就可以登录了

提示

  1. (1)配置免登录前,请确保网络环境达到要求
  2. (2)免登录其实是在本机生成两把锁,一把所谓的公钥是放到要登录的那台服务器上的,其实是一串文本。  
  3. (3)被登录的服务器上只会有一个公钥文件,叫authorized_keys。如果被登录的服务器有多个客户端要连上来,就会把每个文本密钥存成一行。  
  4. (4)客户端发送到服务器端的密钥文件一定要放到登录用户主目录的~/.ssh这个隐藏目录下,  
  5. 比如用hadoop用户登录到192.168.0.121服务器,如果hadoop的主目录是/home/hadoop,那么,密钥文件一定是在/home/hadoop/.ssh/下  
  6. (5)如果直接将authorized_keys的文件从客户端通过scp或者ssh-copy-id方式发送到服务器端,会覆盖原来的文件,对其他用户有影响,所以发送时要进行改名后合并,  

配置环境:

(1)服务器IP、名称、网卡信息

3台 centos7.3 64位系统内容如下:

IP地址:                   服务器名称      网卡名称       用户名        主目录

192.168.0.210     hadoop1          eth0              hadoop      /home/hadoop

192.168.0.211      hadoop2          eth0              hadoop      /home/hadoop            

192.168.0.212      hadoop3          eth0              hadoop      /home/hadoop          

配置准备:

  (1)添加用户

  1. 1. 以root用户分别登录各服务器。  
  2. 2. 执行如下命令,创建用户。   
  3.      useradd -d /home/hadoop -s /bin/bash -m hadoop   
  4. 3. 执行如下命令,为用户“hadoop ”设置密码。  
  5.      passwd hadoop   
  6. 4. 您需要根据系统的提示输入两次密码“aaaa@1111”。  
  7. 5. 为“hadoop ”赋予“sudo”权限。  
  8.     a. 执行以下命令,添加“/etc/sudoers”文件的写权限。  
  9.     chmod u+w /etc/sudoers  
  10.     b. 使用vi编辑器,在“/etc/sudoers”文件中“root ALL=(ALL) ALL”后添加语句,如黑体部分  所示。   
  11.     root       ALL=(ALL)       ALL  
  12.    <strong> hadoop  ALL=(ALL)       ALL</strong>  
  13.     c. 执行以下命令,删除“/etc/sudoers”文件的写权限。  
  14.     chmod u-w /etc/sudoers  

  (2)配置网络

       (一)修改服务器主机名称 hostname

       以root用户登录,需要修改3个地方,hostname 指令,如果只修改这一处,重启电脑后还是会变回来。/etc/hosts主机文件, 这个地方修改是给            DNS解析用的。单独修改也不行。只有三个地方同时修改才能算修改完成。修改完成后重启服务器

       【1】 hostname 指令中修改。

                直接输入hostname查看主机名是不是hadoop,如果不是,输入“hostname hadoop” 再输入 “hostname” 进行验证
               

       【2】使用 vim /etc/sysconfig/network 修改网络配置中主机名,将修改 HOSTNAME=hadoop       
             

   (二)配置IP映射

       以root用户登录,依次修改每台服务器的主机信息,通过 vim /etc/hosts修改主机信息,加入主机别名

      如果主机IP是192.168.0.210,本机主机名是hadoop1,那么 /etc/hosts 文件的内容应该包含一下内容: 

  1. 127.0.0.1       localhost  
  2. 192.168.0.210 hadoop1  
  3. 192.168.0.211 hadoop2  
  4. 192.168.0.212 hadoop3  
  5. 192.168.0.210 localhost

     如果主机IP是192.168.0.211,本机主机名是hadoop2,那么 /etc/hosts 文件的内容应该包含一下内容:  

  1. 127.0.0.1       localhost  
  2. 192.168.0.210 hadoop1  
  3. 192.168.0.211 hadoop2  
  4. 192.168.0.212 hadoop3  
  5. 192.168.0.211 localhost

   如果主机IP是192.168.0.212,本机主机名是hadoop3,那么 /etc/hosts 文件的内容应该包含一下内容:   

  1. 127.0.0.1       localhost  
  2. 192.168.0.210 hadoop1  
  3. 192.168.0.211 hadoop2  
  4. 192.168.0.212 hadoop3  
  5. 192.168.0.212 localhost

 这里是一个小坑特别说明一下

     之前看到网上如下的配置(拿hadoop1举例)

    127.0.0.1             hadoop1 localhost
    192.168.0.210  hadoop1
    192.168.0.211  hadoop2
    192.168.0.212  hadoop3

     这样会找出造成hadoop集群启动后,集群中只有一个活动的节点,网上查说是

       :一个ip对应两个名字,Linux系统应该只采纳排序靠头的记录,当之后有同ip的记录时,估计会抛弃。最后造成一个回环,每         个节点获得namenode的信息都是localhost名字,而具体到各个机器,localhost
        反向映射到自己,最后造成集群中一个死路回环。            

      (三)修改网卡名称 --(可选)

        1. 以root用户登录各服务器。           
        2. 使用vi编辑器,修改“/etc/udev/rules.d/70-persistent-net.rules”文件 --- (如果服务器没有此文件就跳过)。如果是虚拟机,没有此文件,就不用修改 ,主要是修改NAME="eth0"    

  1. # PCI device 0x14e4:0x1713 (tg3)  
  2.   
  3. SUBSYSTEM=="net", ACTION=="add", DRIVERS=="?*", ATTR{address}=="00:1e:ec:0f:79:f  
  4.   
  5. 6", ATTR{type}=="1", KERNEL=="eth*", NAME="eth0"  

        3. 使用vi编辑器,修改“/etc/sysconfig/network-scripts/ifcfg-eth0”文件。 
            主要是DEVICE=“eth0"
            
          
        4. 执行reboot命令,重新启动服务器。
        5. 执行ifconfig命令,查看网卡名称。
             
            
        6. 参考“步骤1”至“步骤5”,将所有服务器的网卡名称设置为“eth0”。

  配置免登录

    (1)创建或者修改密钥目录权限 (此操作在所有服务器完成后再进入下一步)

  1. 假设本机的IP为“192.168.0.210”,配置免登录的操作步骤如下:  
  2. 1. 以hadoop用户登录各服务器。  
  3. 2. 执行以下命令,修改“.ssh 目录”权限。   
  4.     chmod 700 ~/.ssh   
  5.     说明:如果“.ssh”目录不存在,请在/home/hadoop目录执行 mkdir ~/.ssh 命令创建。  

    
        

(2)创建公钥和私钥(此操作在所有服务器完成后再进入下一步)

  1. 以hadoop用户登录本机(假设本机的IP为“192.168.0.210”)。   
  2.  执行以下命令,进入“.ssh”目录。   
  3.     cd /home/hadoop/.ssh  
  4.  执行以下命令后,如果提示,就一直按“Enter”键,直至生成公钥。   
  5.     ssh-keygen -t rsa  

          

     如果创建公钥和私钥后(黄色部分),提示的用户名hadoop@后面不是本机别名(上图红色部分),说明主机名称需要重新配置一次,然后记得重启,然后删除/.ssh目录下的公钥和私钥,重新生成,直到生成的密钥后缀是本机别名.   

  (3)拷贝公钥到服务器(要登录上去的那台服务器)

       安装scp工具yum install -y openssh-clients 

  1. 1. 执行以下命令(假设本机是192.168.0.210),并根据提示输入登录密码,配置免登录。   
  2.     scp id_rsa.pub hadoop@hadoop2:/home/hadoop/.ssh/authorized_keys_from_hadoop1  
  3.     scp id_rsa.pub hadoop@hadoop2:/home/hadoop/.ssh/authorized_keys_from_hadoop1   
  4. 执行完成后,目标服务器的/home/hadoop/.ssh/目录下就应该有一个authorized_keys_from_hadoop1文件 
  5. ssh-copy-id -i ~/.ssh/id_rsa.pub hadoop@hadoop2

          
          

 (4)在被登录的服务器上生成公钥, 公钥合并

  1. 1. 登录到要被登录的服务器()进入./ssh目录  
  2.    cd ~/.ssh  
  3. 2. 将客户端发送来的公钥文件进行合并  
  4.    cat authorized_keys_from_hadoop1 >> authorized_keys  
  5.    说明:如果authorized_keys不存在就会自动创建,如果存在就会追加  
  6.    同时将authorized_keys文件权限设为644

          

(5)验证

  1. * 验证  
  2.     配置免登录完成后,在本机中输入“ssh hadoop@hadoop2” 或者 “ssh hadoop@192.168.0.211” 。  
  3.     * 如果无需输入密码,则表示配置免登录成功。  
  4.     * 如果仍需要输入密码,则可能是.ssh目录和文件权限需要修改。  

        以下是正常情况:

          

(6) 目录文件权限修改方法

        以root用户登录,依次进入服务器、客户端,执行以下权限修改命令。如果还是不行,请重复 配置免登录操作(需要删除公钥和私钥再做一次)。 

  1. chown hadoop: ~/.ssh  
  2. chown hadoop: ~/.ssh/*  
  3. chmod 700 ~/.ssh  
  4. chmod 644 ~/.ssh/*    

        
 修改权限后在登录,就应该能正常了。

常见错误
1、在使用 ssh-copy-id 错误提示
错误提示:
ssh-copy-id:/usr/bin/ssh-copy-id: ERROR: No identities found
解决方法:
缺少公钥路径,加上IP即可
ssh-copy-id -i ~/.ssh/id_dsa.pub user@remote_ip
2、ssh ip 可以成功登录,ssh hostname 却失败
错误提示:
ssh: connect to host localhost port 22: Connection refused
解决方法:
看下对方的主机名是不是在 /etc/hosts 文件中和 ip 做了映射,没有就加上即可。
3、ssh 的配置目录权限问题
错误提示:
登录的时候依旧让输入密码
由于 ssh 的权限直接关系到服务器的安全问题,因此 ssh 每次读取配置都会校验相关文件夹和文件的权限,以防止权限过大对外暴露。
解决方法:
服务端的.ssh目录权限要是700 authorized_keys权限600
4、ssh localhost:publickey 授权失败
解决办法:
#vim /etc/ssh/sshd_config
开启这3行,重启服务即可
RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile     .ssh/authorized_keys
5、ssh localhost:需要密码
解决方法:
cat ~/.ssh/id_rsa.pub >> ~/.ssh/authorized_keys
6、Selinux与Iptables阻拦
解决方法:
关闭Selinux:
#sed -i '/SELINUX/s/enforcing/disabled/' /etc/selinux/config (重启生效)
#setenforce 0 (警告模式,相当于临时关闭)
设置Iptables:
#iptables -A INPUT -p tcp --dport 22 -j ACCEPT
#iptables -A INPUT -p tcp --dport 1234 -j ACCEPT
#/etc/rc.d/init.d/iptables save
#/etc/rc.d/init.d/iptables restart

菲宇
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
linux命令之常用命令
微笑的码农的博客
11-04 324
文章目录**基本**命令1.1 命令入门1.1.1 命令提示符详解1.1.2 命令格式1.2 获取命令的帮助1.2.1 查手册&搜索引擎1.2.2 man的使用1.2.3 命令 --help1.3 echo输出1.4 环境变量:PATH1.5 ls1.6 pwd1.7 cd1.8 mkdir1.9 rm1.10 cp1.11 mv1.12 ln1.13 ps1.14 test命令 基本命令 1.1 命令入门 1.1.1 命令提示符详解 [root@localhost ~]# #/
Linux 配置SSH免密登录ssh-keygen”的基本用法
09-14
SSH 是目前较可靠,专为远程登录话和其他网络服务提供安全性的协议。利用 SSH 协议可以有效防止远程管理过程中的信息泄露问题,这篇文章主要介绍了Linux 配置SSH免密登录ssh-keygen”的基本用法 ,需要的朋友可以参考下
Linuxssh 信任免密登录
test1280
07-17 2975
Linuxssh 信任免密登录 ssh 登录通常需要输入 remote 的用户名和密码。 可以通过在 local 和 remote 两侧进行一些信任配置,使得 local 通过 ssh 登录 remote 时不需要输入密码而直接登录。 主机: local: [email protected] [client@localhost ~]$ uname -a Linux local...
ssh中的密码登录和密钥登录
热门推荐
m0_52165864的博客
07-30 1万+
这种加密方式是大家都知道的,发送方和接收方都是一样的。加解密的钥匙都是同一把,怎么样安全的保存这个密钥,这个密钥在需要加密的机器之前都是共享?很难保证这个密钥不被泄漏。
SSH简介
iUcool的博客
08-03 1244
比如主机A运行a虚拟机,那么处于同一局域网下的主机B便可以通过在主机A执行以下命令达到通过主机B 1234端口。比如对于本机2121端口连接了远程SSH服务器remoteSSHHost,那么动态转发命令如下。本机与远程SSH服务器建立了加密连接,针对本机某个端口的访问都通过这个加密连接转发。删除hostname对应公钥,当然也可以手动在文件中删除。在建立本机到远程的SSH隧道后,使远程服务器访问本机。初次连接,将远程服务器公钥hash值储存在客户端。将对本机A指定端口X的访问请求转发给主机B的Y端口。..
SSH的主机验证和身份验证(一)
Valhalla_God的博客
12-02 4220
1.1 非对称加密基础知识 对称加密:加密和解密使用一样的算法,只要解密时提供与加密时一致的密码就可以完成解密。 很简单的加密方式,只要一把钥匙能够同样打开本地锁和服务器锁就可以建立SSH连接 **非对称加密:**通过公钥(public key)和私钥(private key)来加密、解密。公钥加密的内容可以使用私钥解密,私钥加密的内容可以使用公钥解密。一般使用公钥加密,私钥解密,但并非绝对如此,例如CA签署证书时就是使用自己的私钥加密。在接下来介绍的SSH服务中,虽然一直建议分发公钥,但也可以分发私钥。
LInuxSSH远程登陆
qq_57289939的博客
01-13 2447
SSH的简介
expect命令在linux下实现批量ssh免密
09-15
本次文章主要给大家讲解了在linux系统下用expect命令实现批量ssh免密的实现方法,以及实际代码分享。
linux系统下的ssh登录和配置方法
09-15
给大家介绍了linux系统下的ssh登录方法和ssh配置方法,ssh有两种登录方式,具体哪两种方式大家通过本文学习
Linux—设置虚拟机之间免密登录—超详细—技术帖
01-09
Linux—设置虚拟机之间免密登录,适合集群之间,方便文件传输。 设置免密登录 很多帖子发的免密登录我不想吐槽,实力带躺,好好看下面五杀操作 为什么设置免密 从一台虚拟机上登录到另一台需要密码,两个机子之间...
详解Java使用Jsch与sftp服务器实现ssh免密登录
10-16
主要介绍了详解Java使用Jsch与sftp服务器实现ssh免密登录,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
第1章ssh命令处ssh和服务详解
szembed的博客
02-16 1941
分为服务端配置文件/etc/ssh/sshd_config和客户端配置文件/etc/ssh/ssh_config(全局)或~/.ssh/config(用户)。虽然服务端和客户端配置文件默认已配置项虽然非常少非常简单,但它们可配置项非常多。sshd_config完整配置项参见金步国翻译的sshd_config中文手册,ssh_config也可以参考sshd_config的配置,它们大部分配置项所描述的内容是相同的。
SSH服务器
wayne8910的专栏
07-13 1194
1、SSH SSH是Secure Shell的缩写,由IETF的网络工作小组所制定,SSH建立在应用层和传输层基础上的安全协议。SSH有很多功能,它既可以代替Telnet,又可以为FTP、POP,甚至为PPP提供一个安全的通道。 OpenSSHSSH的替代软件包,而且是开放源代码和免费的。 SSH协议框架中最主要的部分是3个协议。 传输层协议(The Transport Layer Protocol):传输层协议提供服务器认证、数据机密性、信息完整性等的支持。 用户认证协议(The User
使用ssh密钥进行免密登录配置,并且Ssh 信任关系建立后仍需要输入密码 的问题解决
最新发布
qq_574745116的博客
11-29 1521
需求:项目需要使用shell脚本远程连接linux服务器(),本机也是linux系统(centos7.9)。1、在本地系统上生成ssh密钥对按照提示操作,可以选择默认的文件路径和空密码。这将在~/.ssh目录下生成id_rsa(私钥)和id_rsa.pub(公钥)。2、讲公钥复制到远程服务器。
建立两台linux主机的ssh信任,实现ssh免密登录远程服务器
疯子丶pony的博客
11-27 520
1、介绍 假设我们现在有AB两个服务器,要求A能够远程登录到B服务。 CentOS版本:CentOS Linux release 7.6.1810 (Core) 2、实操 1、先在A服务上输入以下命令生成秘钥,如下图所示 ssh-keygen -t rsa 2、复制A服务器上的公钥【id_rsa.pub】到B服务器的【.ssh】目录下 #找到第一步中生成的秘钥 cd /root/.ssh...
debian 9.7记录
Make
06-06 670
Debian中文乱码解决办法 如果没有安装locales的话。所以需要先安装locales,命令为: aptitude install locales 输入命令dpkg-reconfigure locales 选择en_us.utf8,根据需要(自己系统里是否需要显示中文)选择ZN. 确定后进入下一个界面: 如果有多项的话请选择eh_us.utf8那项,这里是选择默认显示格式。 回...
Linux ssh登录过程、免密码登录配置及各个文件关系详解
zyplanke的专栏
12-20 1476
Linux中,经常使用ssh登录远程的Linux服务器。包括 密码认证模式 和 公钥免密认证 模式。下面进行说明 ssh命令使用的几个文件 服务器端 /etc/ssh/目录下:sshd_config、ssh_host_ecdsa_key、ssh_host_ecdsa_key.pub、ssh_host_rsa_key、ssh_host_rsa_key.pub主要存放作为sshd服务的配置...
ssh免密登陆
J_1111的博客
08-15 805
ssh免密登陆
Linuxssh服务及基于key验证方法
杜达达的博客
09-20 3139
ssh 配置文件: /etc/ssh/ssh_config 客户端 /etc/ssh/sshd_config 服务器端 首次连接,系统自动把公钥从被连接考到发起连接主机,来做认证 /etc/ssh/ssh_host_rsa_key.pub (被连接的主机) /root/.ssh/known_hosts (发起连接主机) 如更换机器IP一样,清空known.hosts文件即可...
Linux配置ssh root用户免密登录
11-24
以下是Linux配置ssh root用户免密登录的步骤: 1. 在本地机器上生成公钥和私钥: ```shell ssh-keygen -t rsa ``` 2. 将公钥复制到远程服务器上: ```shell ssh-copy-id -i ~/.ssh/id_rsa.pub root@服务器地址 ``` 3...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

菲宇

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值