前言:记一次部署集群时,集群之间ssh免密登录配置无法成功的经历。
配置各节点间SSH安全通信协议
第一步:创建文件目录
[hadoop@master ~]$ mkdir .ssh
第二步:进入.ssh目录,生成公钥文件
[hadoop@master .ssh]$ ssh-keygen -t rsa
(备注:一路回车即可)
第三步:将生成的公钥文件添加至认证文件
[hadoop@master .ssh]$ cat id_rsa.pub >>authorized_keys
第四步:赋予文件权限
[hadoop@master .ssh]$ chmod 700 ../.ssh/
[hadoop@master .ssh]$ chmod 600 authorized_keys
第五步:依次生成其他节点的公钥文件
此处,参考第一、二步...
第六步:分发它节点公钥,追加本节点公钥
// 将master节点公钥分发到slave01节点
[hadoop@master .ssh]$ scp authorized_keys slave01:/home/hadoop/.ssh/
// 将slave01节点公钥追加到认证文件authorized_keys中
[hadoop@slave01 .ssh]$ cat id_rsa.pub >>authorized_keys
此时,slave01的认证文件有master和slave01的公钥
// 将slave01的认证文件分发到slave02节点
[hadoop@slave01 .ssh]$ scp authorized_keys slave02:/home/hadoop/.ssh/
// 将slave02节点公钥追加到认证文件authorized_keys中
[hadoop@slave02 .ssh]$ cat id_rsa.pub >>authorized_keys
此时,slave02的认证文件有master、slave01和slave02的公钥。
最后,将包含三个节点公钥的认证文件分别回发给master和slave01(会覆盖原先的authorized_keys文件),保证每个节点的authorized_keys文件都有所有节点的公钥。
[hadoop@slave02 .ssh]$ scp authorized_keys master:/home/hadoop/.ssh/
[hadoop@slave02 .ssh]$ scp authorized_keys slave01:/home/hadoop/.ssh/
到此,节点间SSH安全通信协议配置完成,注意,赋予各节点的文件权限。
问题描述
但是按照前面的流程配置,节点间的ssh免密登录始终无法成功。
排除了文件权限的问题,防火墙问题,也不是StrictModes问题:编辑sudo vi /etc/ssh/sshd_config
,将 #StrictModes yes
改成 StrictModes no
。
解决方法
最终发现是SELinux的问题,SELinux是一种Linux的安全策略。
它通过对于用户,进程权限的最小化,即使受到攻击,进程或者用户权限被夺去,也不会对整个系统造成重大影响。
用户必须同时符合使用者的权限和SELinux的权限才能顺利执行操作。
总结:SELinux权限限制的问题,我们禁用SELinux,即可解决问题。
查看状态的命令为 getenforce
第一种方法临时禁用:setenforce 0
,重启服务器便会失效。
第二种方法就是直接 vim /etc/sysconfig/selinux
配置文件中 SELINUX=disabled
修改完sshd配置文件参数,然后reboot重启服务器即可ssh远程登录了。