当前位置: > CentOS > CentOS入门 >

centos7.0配置ssh免密码登录

时间:2016-05-23 20:39来源:linux.it.net.cn 作者:IT
最近在搭建Hadoop环境需要设置无密码登陆,所谓无密码登陆其实是指通过证书认证的方式登陆,使用一种被称为"公私钥"认证的方式来进行ssh登录。 
  " 公私钥"认证方式简单的解释:首先在客户端上创建一对公私钥 (公钥文件:~/.ssh/id_rsa.pub; 私钥文件:~/.ssh/id_rsa)。然后把公钥放到服务器上(~/.ssh/authorized_keys), 自己保留好私钥。在使用ssh登录时,ssh程序会发送私钥去和服务器上的公钥做匹配。如果匹配成功就可以登录了。 
  在Ubuntu和Cygwin 配置都很顺利,而在Centos系统中配置时遇到了很多问题。故此文以Centos (Centos5 ) 为例详细讲解如何配置证书验证登陆,具体操作步骤如下: 
  1. 确认系统已经安装好OpenSSH的server 和client 
  安装步骤这里不再讲述,不是本文的重点。 
  2. 确认本机sshd的配置文件(需要root权限) 
  $ vi /etc/ssh/sshd_config 
  找到以下内容,并去掉注释符”#“ 
  RSAAuthentication yes 
  PubkeyAuthentication yes 
  AuthorizedKeysFile      .ssh/authorized_keys 
  3.  如果修改了配置文件需要重启sshd服务 (需要root权限) 
  $ vi /sbin/service sshd restart 
  4. ssh登陆系统 后执行测试命令: 
  $ ssh localhost 
  回车会提示你输入密码,因为此时我们还没有生成证书 
  5.生成证书公私钥的步骤: 
  $ ssh-keygen -t dsa -P '' -f ~/.ssh/id_dsa 
  $ cat ~/.ssh/id_dsa.pub 》 ~/.ssh/authorized_keys 
  6.测试登陆 ssh localhost: 
  $ ssh localhost 
  正常情况下会登陆成功,显示一些成功登陆信息,如果失败请看下面的 一般调试步骤 
  7.一般调试步骤 
  本人在配置时就失败了,按照以上步骤依旧提示要输入密码。于是用ssh -v 显示详细的登陆信息查找原因: 
  $ ssh -v localhost 
  回车显示了详细的登陆信息如下: 
  ……省略 
  debug1: Authentications that can continue: publickey,gssapi-with-mic,password 
  debug1: Next authentication method: gssapi-with-mic 
  debug1: Unspecified GSS failure. Minor code may provide more information 
  Unknown code krb5 195 
  debug1: Unspecified GSS failure. Minor code may provide more information 
  Unknown code krb5 195 
  debug1: Unspecified GSS failure. Minor code may provide more information 
  Unknown code krb5 195 
  debug1: Next authentication method: publickey 
  debug1: Trying private key: /home/huaxia/.ssh/identity 
  debug1: Trying private key: /home/huaxia/.ssh/id_rsa 
  debug1: Offering public key: /home/huaxia/.ssh/id_dsa 
  debug1: Authentications that can continue: publickey,gssapi-with-mic,password 
  debug1: Next authentication method: password 
   huaxia@localhost's  password: 
  同时用root用户登陆查看系统的日志文件: 
  $tail /var/log/secure -n 20 
  ……省略 
  Jul 13 11:21:05 shnap sshd[3955]: Accepted password for huaxia from 192.168.8.253 port 51837 ssh2 
  Jul 13 11:21:05 shnap sshd[3955]: pam_unix(sshd:session): session opened for user huaxia by (uid=0) 
  Jul 13 11:21:47 shnap sshd[4024]: Connection closed by 127.0.0.1 
  Jul 13 11:25:28 shnap sshd[4150]: Authentication refused: bad ownership or modes for file /home/huaxia/.ssh/authorized_keys 
  Jul 13 11:25:28 shnap sshd[4150]: Authentication refused: bad ownership or modes for file /home/huaxia/.ssh/authorized_keys 
  Jul 13 11:26:30 shnap sshd[4151]: Connection closed by 127.0.0.1 
  ……省略 
  从上面的日志信息中可知文件/home/huaxia/.ssh/authorized_keys 的权限有问题。 
  查看/home/huaxia/.ssh/ 下文件的详细信息如下: 
  $ ls -lh ~/.ssh/ 
  总计 16K 
  -rw-rw-r-- 1 huaxia huaxia 602 07-13 11:22 authorized_keys 
  -rw------- 1 huaxia huaxia 672 07-13 11:22 id_dsa 
  -rw-r--r-- 1 huaxia huaxia 602 07-13 11:22 id_dsa.pub 
  -rw-r--r-- 1 huaxia huaxia 391 07-13 11:21 known_hosts 
  修改文件authorized_keys的权限(权限的设置非常重要,因为不安全的设置安全设置,会让你不能使用RSA功能 ): 
  $ chmod 600 ~/.ssh/authorized_keys 
  再次测试登陆如下: 
  $ ssh localhost 
  Last login: Wed Jul 13 14:04:06 2011 from 192.168.8.253 
  看到这样的信息表示已经成功实现了本机的无密码登陆。 
  8.认证登陆远程服务器(远程服务器OpenSSH的服务当然要启动) 
  拷贝本地生产的key到远程服务器端(两种方法) 
  方法一: 
  $cat ~/.ssh/id_rsa.pub | ssh 远程用户名@远程服务器ip 'cat - 》 ~/.ssh/authorized_keys' 
  方法二: 
  在本机上执行: 
  $ scp ~/.ssh/id_dsa.pub  michael@192.168.8.148:/home/michael/ 
  登陆远程服务器 michael@192.168.8.148  后执行: 
  $ cat id_dsa.pub 》 ~/.ssh/authorized_keys 
  本机远程登陆192.168.8.148的测试: 
  $ssh  michael@192.168.8.148 
  Linux michael-VirtualBox 2.6.35-22-generic #33-Ubuntu SMP Sun Sep 19 20:34:50 UTC 2010 i686 GNU/Linux 
  Ubuntu 10.10 
  Welcome to Ubuntu! 
  * Documentation:  链接地址 
  216 packages can be updated. 
  71 updates are security updates. 
  New release 'natty' available. 
  Run 'do-release-upgrade' to upgrade to it. 
  Last login: Wed Jul 13 14:46:37 2011 from michael-virtualbox 
   michael@michael-VirtualBox:~$ 
  可见已经成功登陆。 
  如果登陆测试不成功,需要修改远程服务器192.168.8.148上的文件authorized_keys的权限(权限的设置非常重要,因为不安全的设置安全设置,会让你不能使用RSA功能 ) 
  chmod 600 ~/.ssh/authorized_keys



(责任编辑:IT)
------分隔线----------------------------
栏目列表
推荐内容