遇到的问题
最近安装hadoop集群,需要用到ssh免密码登录,使用 ssh-keygen
命令成功生成了公钥和私钥,然后按照下面的步骤合并每台机器的公钥。
#主服务器
cat /home/hadoop/.ssh/id_rsa.pub >> authorized_keys
scp authorized_keys hadoop@slave1:~/.ssh/authorized_keys
#从服务器1
cat /home/hadoop/.ssh/id_rsa.pub >> authorized_keys
scp authorized_keys hadoop@slave2:~/.ssh/authorized_keys
#从服务器2
cat /home/hadoop/.ssh/id_rsa.pub >> authorized_keys
scp authorized_keys hadoop@master:~/.ssh/authorized_keys
scp authorized_keys hadoop@slave1:~/.ssh/authorized_keys
合并公钥后,使用ssh登录,发现还是需要输入密码。
查了下相关的日志,在安全日志中(sudo cat /var/log/secure)发现是合并后的公钥文件权限的问题,如下:
也就是说文件的属主权限配置得不对,在网上查找才得知是SSH不希望用户组对home目录和~/.ssh目录及其下文件有写的权限。
问题解决
查看authorized_keys文件,该文件用户组权限为读和写,去掉用户组写权限即可。
使用命令chmod更改权限:
chmod g-w authorized_keys
更改完之后重新使用ssh免密登录,已经可以正常使用了。
几点注意事项
1.生成密钥的登录用户要保持一致,各服务器的登录用户之间才能免密登录。
2. 生成公钥文件时,服务器是没有authorized_keys文件的,使用cat方式会创建该文件,并默认给该文件用户和用户组的读写权限,可以将第一个服务器中的cat换成cp,authorized_keys的权限会跟id_rsa.pub保持一致,就不会有问题了。
3.第一个服务器中可以直接使用ssh-copy-id将其公钥文件id_rsa.pub添加到另一个服务器的authorized_keys文件中,其他步骤跟之前保持一致即可。
ssh-copy-id slave1
4.除了通过安全日志查看日志,还可以在 ssh 命令后添加调试参数 -vvv
来查看调试信息定位问题。如下: