学步园

转自   http://xuxuezhe.blog.51cto.com/1636138/1221405

linux多节点之间可以实现无密码SSH相互远程登录。原理就是在每一个节点上面用ssky-keygen生成自己的公钥和私钥，然后再把自己的公钥分别导入到其它节点上面，就可以实现无密码远程登录了。

ssh-keygen 创建公钥和密钥。

ssh-copy-id 把本地主机的公钥复制到远程主机的authorized_keys文件上。

ssh-copy-id 也会给远程主机的用户主目录（home）和~/.ssh, 和~/.ssh/authorized_keys设置合适的权限 。

（1）用 ssh-key-gen 在本地主机上创建公钥和密钥

ligh@local-host$ ssh-keygen -t  rsa

Enter file in which to save the key (/home/jsmith/.ssh/id_rsa):[Enter key]

Enter passphrase (empty for no passphrase): [Press enter key]

Enter same passphrase again: [Pess enter key]

Your identification has been saved in /home/jsmith/.ssh/id_rsa.

Your public key has been saved in /home/jsmith/.ssh/id_rsa.pub.

The key fingerprint is: 33:b3:fe:af:95:95:18:11:31:d5:de:96:2f:f2:35:f9

（2）用 ssh-copy-id 把公钥复制到远程主机上

ligh@local-host$ssh-copy-id -i ~/.ssh/id_rsa.pub  root@192.168.0.3

ligh@remote-host‘s password:

Now try logging into the machine, with ―ssh ?remote-host‘‖, and check in:

.ssh/authorized_keys to make sure we haven‘t added extra keys that you weren‘t expecting.

注: ssh-copy-id 可把公钥密钥追加到远程主机的 .ssh/authorized_key文件中

如果提示：-bash: ssh-copy-id: command not found 是说明在改系统上没有该命令，此命令是由openssh-clients包安装的，在操作系统的光碟中有此包，也可以yum install openssh-clients安装。

[root@centos ~]# which ssh-copy-id

/usr/bin/ssh-copy-id

[root@centos ~]# rpm -qf /usr/bin/ssh-copy-id

openssh-clients-5.3p1-84.1.el6.x86_64

（3） 远程登入

ligh@local-host$ ssh remote-host

Last login: Sun Nov 16 17:22:33 2008 from 192.168.1.2

注: SSH 不会询问密码了即可远程登录主机

转自  http://qindongliang1922.iteye.com/blog/1958518

配置SSH无登陆验证，在很多场景下是非常方便的，尤其是在管理大型集群服务时，避免了繁琐的密码验证，在安全级别越高的服务器上，通常密码的设置更复杂，配置SSH，不仅可以用密钥保证节点间通信的安全性，同时也降低了频繁输入密码登陆的耗时，大大提高了管理效率。散仙写此篇文章，也是给准备入手Hadoop的道友们先做好一个基础的准备，当然你也可以不配置SSH，只要你愿意频繁输入Slave节点的密码来登陆。 

1. SSH无密码验证的原理 
Master作为客户端，要实现无密码公钥认证，连接到服务器Salve上时，需要在Master上生成一个密钥对，包括一个公钥和一个私钥，而后将公钥复制到所有的Salve上。当Master通过SSH链接到Salve上时，Salve会生成一个随机数并用Master的公钥对随机数进行加密，并发送给Master。Master收到加密数之后再用私钥解密，并将解密数回传给Salve，Salve确认解密数无误之后就允许Master进行连接了。这就是一个公钥认证过程，期间不需要手工输入密码，重要的过程是将Master上产生的公钥复制到Salve上。 

2.SSH无密码登陆的几种关系 
通常情况下，一个集群服务下至少有一个Master和若干个Slave 
，那么无密码登陆通常指的是由Master到任意一个Slave的无验证的单向登陆，意思就是只能从Master登陆到Slave是不需要密码的，但是如果你想从Slave无验证登陆到Master，或者你想在Slave与Slave之间进行无验证登陆，这些都是不可行的，除非，你进行了密钥对的双向验证，才可以双向登陆，我们在这里先不去议论相互之间登陆有没有意义，可能某些情况下或许需要这些方式。 

下面开始步入正题，散仙使用的是CentOS6.4版本的，配置的是2个节点之间的双向的SSH无验证登陆，其他几种系统的也大同小异，我们首先使用root用户登陆，在network中修改机器名，并在hosts文件中添加映射信息，然后执行保存退出，Slave机按同样方法配置，具体操作见下图 

 

 

 


 

然后我们在Master，Slave机上分别用root用户建一个hadoop用户，并设置密码，注意用户名，密码保持一致。 

 
然后，登入hadoop用户，执行以下命令，生成密钥对，并把公钥文件写入授权文件中，并赋值权限， 
    ssh-keygen –t rsa –P '' 
    cat ~/.ssh/id_rsa.pub >> ~/.ssh/authorized_keys 
   chmod 600 ~/.ssh/authorized_keys 
最后切换root用户，配置sshd，取消被注释的公钥字段， 
    RSAAuthentication yes # 启用 RSA 认证 
    PubkeyAuthentication yes # 启用公钥私钥配对认证方式 
    AuthorizedKeysFile .ssh/authorized_keys # 公钥文件路径（和上面生成的文件同） 
并保存设置，然后重启sshd，即可测试本机的SSH，如下图所示。 


 

 

 

 
至此，我们本机的SSH已经配置完毕，下面给出SSH登陆本机图 

 
在上图中，我们可以看出，无论使用localhost，还是IP地址，或者是主机名，我们都可以顺利的进行本机的无验证登陆。 


下面，散仙进行把Master的公钥文件通过scp拷贝到已经创建好的Slave节点的hadoop用户上，需要注意的是，在这个用户上不一定有.ssh文件夹，如果没有的话，也没关系，创建一个.ssh文件夹，并赋予700的管理权限，最后将公钥追加到授权文件中，并赋予600的权限，这两步比较重要，切记！ 

 
拷贝完成之后，去Slave机上进行，公钥追加授权文件，并赋值权限，然后切换root用户，进行sshd配置，并重启ssh服务，步骤，如Master机的配置。 
 

 

然后，回到Master机的hadoop用户上，进行测试 


 

 
我们发现此时，已经不需要密码验证了。当然现在只是单向登陆从Master到Slave的可以，如果从Slave到Master的你会发现不行，这个是正常的，想要双向登陆，必须得两台机器互相认证彼此的公钥文件，以此类推无论是你有多少台节点，只要机器双方之间有认证，就可以任意实现无验证登陆，当然在我们实际的生产环境中，只考虑有意义的认证，下面散仙在Slave节点下的hadoop用户里，生成自己的公钥文件，并用scp拷贝到Master上，然后将公钥追加的授权文件中，以此实现双向认证。 


Slave机上的hadoop用户生成密钥对 
 

Slave机上拷贝公钥到Master机上的hadoop用户上 
 
然后与上面相同的方式追加到授权文件authorized_keys里面。然后就大功搞成了，散仙给出截图证明双向无验证登陆。 
Master机上hadoop用户的双向认证 

 
Slave机上hadoop用户的双向认证 
 

至此，我们的双向无登陆验证，已经搞定了，对于多节点的，也是这个道理，只有节点之间都有相互的公钥认证，就可以双向认证了，如果是单向管理的，只需要配置一方的公钥就可以了，当然，在实际的环境中，大部分都是单向的。这个我们要根据实际的情况来处理。