两个openssh间免密码登录-Aquester-ChinaUnix博客

一见aquester.blog.chinaunix.net

博客访问： 8139313
博文数量： 594
博客积分： 13065
博客等级：上将
技术积分： 10324
用户组：普通用户
注册时间： 2008-03-26 16:44

个人简介

推荐: blog.csdn.net/aquester https://github.com/eyjian https://www.cnblogs.com/aquester http://blog.chinaunix.net/uid/20682147.html

文章分类

全部博文（594）

maven（0）
flink（1）
gRPC（2）
go（2）
Kubernetes（1）
微服务（4）

skywalking（3）
Docker（1）
raft（1）
微码分享（2）
一致性协议（1）
iptables（0）
crontab（9）
python（1）
svn（1）
redis（42）
java（4）
json（2）
nginx（1）
海量服务（1）
微信编程（0）
js&html（2）
github（1）
andriod（1）
互联网金融（0）
thrift（10）
推荐转载（5）
原创推荐（16）
平淡生活（22）
生活与设计（3）
hadoop（51）

kafka（3）

hue（1）

hive（1）

hbase（8）

spark（2）

zookeeper（4）

hdfs（13）

storm（1）
有感而发（19）
mooon（28）
下载（1）
TCP/IP（3）
MYSQL（26）
question（4）
linux（89）

LVS（1）

性能（11）

WEB服务器（8）
转载（15）
C/C++（162）

汇编（3）
OO（4）
UML（1）
常用脚本（45）
未分配的博文（10）

推荐博文

相关博文

两个openssh间免密码登录

分类： LINUX

2015-11-24 15:41:53

openssh间免密码登录.pdf

以下针对的是openssh，而不是ssh，也不是ssh2。配置分两部分：一是对登录机的配置，二是对被登录机的配置，其中登录机为客户端，被登录机为服务端，也就是解决客户端到服务端的无密码登录问题。下述涉及到的命令，可以直接拷贝到Linux终端上执行，已全部验证通过，操作环境为CentOS Linux release 7.0。

如何确定是OpenSSH还是SSH2？执行命令“ssh -V”，通过它的输出，即可确定：

SSH2	ssh: SSH Secure Shell 3.2.9.1 (non-commercial version) on
OpenSSH	OpenSSH_5.3p1, OpenSSL 1.0.0-fips 29 Mar 2010

本文假设被登录的远程机器名为hadoop-138-24，对应的IP为192.168.138.24，使用的用户名为hadoop。

第一步，修改所有被登录机上的sshd配置文件/etc/ssh/sshd_config：

1) 将PermitRootLogin值设置为yes，也就是取掉前面的注释号#（如果不是配置root无密码登录，跳过这一步）

2) 以下几行注释取消：

#RSAAuthentication=yes

#PubkeyAuthentication=yes

#AuthorizedKeysFile=.ssh/authorized_keys

PubkeyAuthentication仅针对ssh2，默认为yes，所以可不取消注释。

RSAAuthentication仅针对ssh1，默认为yes，所以可不取消注释。

AuthorizedKeysFile默认为.ssh/authorized_keys，所以也可不取消注释。

可以通过“man sshd_config”了解到更多信息。

查看OpenSSH的版本：

# sshd -V

unknown option -- V

OpenSSH_6.4p1, OpenSSL 1.0.1e-fips 11 Feb 2013

3) 重启sshd服务：service sshd restart

手工启动方式：

/usr/sbin/sshd -o pidFile=/var/run/sshd_56000.pid -f /etc/ssh/sshd_config.l

或者：

/usr/sbin/sshd -D -f /etc/ssh/sshd_config.l

参数“-D”表示sshd进程不成为守护进程。

如果不指定参数“-o”，则默认为/var/run/sshd.pid，存储了sshd守护进程的pid。

/etc/ssh/sshd_config文件中的Protocol配置项指定sshd支持的协议版本，如：

“Protocol 2”表示为ssh2，多版本使用逗号分隔（无顺序要求）：Protocol 1,2或Protocol 2,1。

对于OpenSSH_5.3p1默认值为2,1。对于OpenSSH_6.4p1默认值为2。

第二步，在所有登录机上，执行以下步骤：

1) 进入到用户HOME目录下的.ssh子目录：cd ~/.ssh

2) 生成私钥和公钥文件：ssh-keygen -t rsa

出现提示后，一路直接回车。成功之后，会在用户的主目录（HOME目录）下生成私钥文件id_rsa，和公钥文件id_rsa.pub。

3) 运行ssh-copy-id，将公钥文件id_rsa.pub上传到远程被登录的机器：

ssh-copy-id -i id_rsa.pub hadoop@hadoop-138-24

注意，这里没有指定远程机器的目录，ssh-copy-id命令会自动将id_rsa.pub的内容放到远程机器的hadoop用户的主目录的.ssh子目录的authorized_keys文件尾。

如果没有ssh-copy-id命令，则可以使用scp复制过去，手工追加到authorized_keys文件尾，如：scp id_rsa.pub hadoop@hadoop-138-24:/data/hadoop/.ssh（这里假设hadoop用户的HOME目录为/data/hadoop），然后登录hadoop-138-24，进入/data/hadoop/.ssh，执行：

cat id_rsa.pub >> authorized_keys

接下来，就可以无密码登录远程机器：ssh hadoop@hadoop-138-24。当然也可以以IP方式登录，如：ssh hadoop@192.168.138.24。

如果按上述操作的之后，仍然不能免密码登录，则检查目录.ssh的权限，如同下面这样：

drwxrwxr-x 2 hadoop hadoop 4096 Nov 24 14:27 .ssh

则是登录时仍然需要密码，需要去掉其他用户对.ssh目录的写权限：

drwx------ 2 hadoop hadoop 4096 Nov 24 14:27 .ssh

对被登录机器上的文件authorized_keys也有同样的要求，下面这样是OK的：

-rw------- 1 hadoop hadoop 403 Nov 24 14:27 authorized_keys