一:ssh原理圖為:
1、就是為了讓兩個linux機器之間使用ssh不需要用戶名和密碼。采用了數字簽名RSA或者DSA來完成這個操作
2、模型分析
假設 A (192.168.20.59)為客戶機器,B(192.168.20.60)為目標機;要達到的目的:A機器ssh登錄B機器無需輸入密碼;加密方式選 rsa|dsa均可以,默認dsa
二、具體操作流程
單向登陸的操作過程(能滿足上邊的目的):1、登錄A機器 2、ssh-keygen -t [rsa|dsa],將會生成密鑰文件和私鑰文件 id_rsa,id_rsa.pub或id_dsa,id_dsa.pub3、將 .pub 文件復制到B機器的 .ssh 目錄,并 cat id_dsa.pub >> ~/.ssh/authorized_keys4、大功告成,從A機器登錄B機器的目標賬戶,不再需要密碼了;(直接運行 #ssh 192.168.20.60 )
雙向登陸的操作過程:
1、ssh-keygen做密碼驗證可以使在向對方機器上ssh ,scp不用使用密碼.具體方法如下:2、兩個節點都執行操作:#ssh-keygen -t rsa 然后全部回車,采用默認值.3、這樣生成了一對密鑰,存放在用戶目錄的~/.ssh下。將公鑰考到對方機器的用戶目錄下 ,并將其復制到~/.ssh/authorized_keys中(操作命令:#cat id_dsa.pub >> ~/.ssh/authorized_keys )。
4、設置文件和目錄權限:用hadoop 用戶進行 /home/hadoop 主目錄,如果是多臺linux ,最好每臺上的用戶名建成一樣
設置authorized_keys權限$ chmod 600 authorized_keys 設置.ssh目錄權限$ chmod 700 -R .ssh
5、要保證.ssh和authorized_keys都只有用戶自己有寫權限。否則驗證無效。(今天就是遇到這個問題,找了好久問題所在),其實仔細想想,這樣做是為了不會出現系統漏洞。
我從20.60去訪問20.59的時候會提示如下錯誤:
java代碼
三、總結注意事項
1、文件和目錄的權限千萬別設置成chmod 777.這個權限太大了,不安全,數字簽名也不支持。我開始圖省事就這么干了
2、生成的rsa/dsa簽名的公鑰是給對方機器使用的。這個公鑰內容還要拷貝到authorized_keys
(注意,如果是三臺以上的linux機器如hostname h1,h2,h3 ,每臺上的用戶名為hadoop,則把所有機器上的
/home/hadoop/.ssh/id_dsa.pub 用 scp copy到一臺機器中的一個目錄下,都寫入到/home/hadoop/.ssh/authorized_keys 中,使它成為一個包含所有公鑰的大文件,再把這個文件公別copy到每一臺linux下的/home/hadoop/.ssh/authorized_keys 下,再修改權限為600 )
3、linux之間的訪問直接 ssh 機器ip
4、某個機器生成自己的RSA或者DSA的數字簽名,將公鑰給目標機器,然后目標機器接收后設定相關權限(公鑰和authorized_keys權限),這個目標機就能被生成數字簽名的機器無密碼訪問了
---------------------
linux建立信任,已添加到authorized_keys,就是不成功;權限問題2013年6月14日 DigDeeply 跳到評論Linux主機間建立信任關系在主機A和主機B間建立信任關系,使主機A可以無密碼ssh登陸主機B.
其中有三點需要注意的地方,如果已經按照以上方法做了,還是不可以,那就比照下邊三條對比一下:
第(3)條太坑了,就因為 /home/user 目錄是777,不是755,怎么都不行,信任關系建不起來,最后把/home/user目錄的權限由777改成755就立搞定了。。。>_<,好大的坑啊。。。
新聞熱點
疑難解答
