最近在搭建Hadoop环境需要设置无密码登录,所谓无密码登录其实是指通过证书认证的方式登录,使用一种被称为”公私钥”认证的方式来进行ssh登录。
“公私钥“认证方式简单的解释:首先在客户端上创建一对公私钥 (公钥文件:~/.ssh/id_rsa.pub; 私钥文件:~/.ssh/id_rsa)。然后把公钥放到服务器上(~/.ssh/authorized_keys), 自己保留好私钥.在使用ssh登录时,ssh程序会发送私钥去和服务器上的公钥做匹配.如果匹配成功就可以登录了。
在Ubuntu和Cygwin 配置都很顺利,而在Centos系统中配置时遇到了很多问题。故此文以Centos(Centos5)为例详细讲解如何配置证书验证登录,具体操作步骤如下:
1. 确认系统已经安装好OpenSSH的server 和client
rpm -qa | grep openssh
rpm -qa | grep rsync
假设没有安装ssh和rsync,可以通过下面命令进行安装。
yum install ssh #安装SSH协议
yum install rsync #rsync是一个远程数据同步工具,可通过LAN/WAN快速同步多台主机间的文件
service sshd restart #启动服务
2. 确认本机sshd的配置文件(需要root权限)
$ vi /etc/ssh/sshd_config找到以下内容,并去掉注释符”#“
RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys
3. 如果修改了配置文件需要重启sshd服务(需要root权限)
$ /sbin/service sshd restart4.ssh登录系统后执行测试命令:
$ ssh localhost回车会提示你输入密码,因为此时我们还没有生成证书。
5.生成证书公私钥的步骤:
$ ssh-keygen -t dsa -P '' -f ~/.ssh/id_dsa
$ cat ~/.ssh/id_dsa.pub >> ~/.ssh/authorized_keys 参数说明,-t有两种密钥类型dsa和rsa,如果没有指定则默认生成用于SSH-2的RSA密钥,将公钥存放在附加了".pub"后缀的同名文件中;-P提供密语,安全要求不高一般为空即可,忘记了密语时,使用参数-N提供一个新的密语生成新的密钥;-f指定密钥文件名,这里写的是和默认的一样。下面是生成rsa密钥:
$ ssh-keygen -t rsa -P '' -f ~/.ssh/id_rsa
$ cat ~/.ssh/id_rsa.pub >> ~/.ssh/authorized_keys 6.测试登录 ssh localhost:
$ ssh localhost正常情况下会登录成功,显示一些成功登录信息,如果失败请看下面的一般调试步骤
7.一般调试步骤
本人在配置时就失败了,按照以上步骤依旧提示要输入密码。于是用ssh -v 显示详细的登录信息查找原因:
$ ssh -v localhost回车显示了详细的登录信息如下:
。。。。。。省略
debug1: Authentications that can continue: publickey,gssapi-with-mic,password
debug1: Next authentication method: gssapi-with-mic
debug1: Unspecified GSS failure. Minor code may provide more information Unknown code krb5 195debug1: Unspecified GSS failure. Minor code may provide more information Unknown code krb5 195debug1: Unspecified GSS failure. Minor code may provide more information Unknown code krb5 195debug1: Next authentication method: publickey
debug1: Trying private key: /home/huaxia/.ssh/identity
debug1: Trying private key: /home/huaxia/.ssh/id_rsa
debug1: Offering public key: /home/huaxia/.ssh/id_dsa
debug1: Authentications that can continue: publickey,gssapi-with-mic,password
debug1: Next authentication method: password
huaxia@localhost’s password:
同时用root用户登录查看系统的日志文件:
$tail /var/log/secure -n 20。。。。。。省略
Jul 13 11:21:05 shnap sshd[3955]: Accepted password for huaxia from 192.168.8.253 port 51837 ssh2
Jul 13 11:21:05 shnap sshd[3955]: pam_unix(sshd:session): session opened for user huaxia by (uid=0)
Jul 13 11:21:47 shnap sshd[4024]: Connection closed by 127.0.0.1
Jul 13 11:25:28 shnap sshd[4150]: Authentication refused: bad ownership or modes for file /home/huaxia/.ssh/authorized_keys
Jul 13 11:25:28 shnap sshd[4150]: Authentication refused: bad ownership or modes for file /home/huaxia/.ssh/authorized_keys
Jul 13 11:26:30 shnap sshd[4151]: Connection closed by 127.0.0.1
。。。。。。省略
从上面的日志信息中可知文件/home/huaxia/.ssh/authorized_keys的权限有问题。
查看/home/huaxia/.ssh/下文件的详细信息如下:
设置.ssh目录权限
$ chmod 700 -R ~/.ssh再次测试登录如下:
8.认证登录远程服务器(远程服务器OpenSSH的服务当然要启动)
拷贝本地生产的key到远程服务器端(两种方法)
方法一(推荐):
在本机上执行:
$ cat ~/.ssh/id_dsa.pub | ssh 远程用户名@远程服务器IP 'cat >> ~/.ssh/authorized_keys'如果密钥类型是rsa,替换公钥文件即可
$ cat ~/.ssh/id_rsa.pub | ssh 远程用户名@远程服务器IP 'cat >> ~/.ssh/authorized_keys'方法二:
在本机上执行:
登录远程服务器michael@192.168.8.148 后执行:
PS《2014-01-08 修改》:上面两个方法需要注意文件的权限设置,否则无法实现无密码登录, 增加一个更好的方法,用ssh自带的命令 :ssh-copy-id 把公钥复制到远程主机上,同时也会给远程主机的用户主目录 、~/.ssh、 ~/.ssh/authorized_keys 都设置合适的权限 。
本机远程登录192.168.8.148的测试:
$ssh michael@192.168.8.148
Linux michael-VirtualBox 2.6.35-22-generic #33-Ubuntu SMP Sun Sep 19 20:34:50 UTC 2010 i686 GNU/Linux
Ubuntu 10.10Welcome to Ubuntu!
* Documentation: https://help.ubuntu.com/216 packages can be updated.
71 updates are security updates.New release ‘natty’ available.
Run ‘do-release-upgrade’ to upgrade to it.Last login: Wed Jul 13 14:46:37 2011 from michael-virtualbox
michael@michael-VirtualBox:~$
可见已经成功登录。
如果登录测试不成功,需要修改远程服务器192.168.8.148上的文件authorized_keys的权限(权限的设置非常重要,因为不正确的权限设置,会让你不能使用RSA功能):
chmod 600 ~/.ssh/authorized_keys原文链接地址: http://www.micmiu.com/os/linux/linux-openssh-rsa/ (作者:Michael)
126
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
