配置SSH無登陸驗證，在很多場景下是非常方便的，尤其是在管理大型集群服務時，避免了繁瑣的密碼驗證，在安全級別越高的服務器上，通常密碼的設置更復雜，配置SSH，不僅可以用密鑰保證節點間通信的安全性，同時也降低了頻繁輸入密碼登陸的耗時，大大提高了管理效率。

原理簡介

為了便于理解，假設需要在hadoop148這臺機器上可以通過無密碼登錄的方式連接到hadoop107上。

首先在 hadoop148上生成一個密鑰對，包括一個公鑰和一個私鑰，并將公鑰復制到hadoop107上。

然后當 hadoop148通過SSH連接hadoop107機器時， hadoop107機器 就會生成一個隨機數并用 hadoop148的公 鑰對隨機數進行加密，并發送給 hadoop148。

最后 hadoop148收到加密數之后再用私 鑰解密，并將解密數回傳給hadoop107， hadoop107確認解密數無誤之后就允許hadoop148不 輸入密碼進行連接了

配置

具體步驟

1 、 登錄hadoop148,執行命令 ssh-keygen -t rsa 之后一路回 車，查看剛生成的無密碼鑰對： cd .ssh 后 執行 ll

2 、把 id_rsa.pub 追加到授權的 key 里面去。 執行命令 cat ~/.ssh/id_rsa.pub >>~/.ssh/authorized_keys

3 、修改權限： 執行 chmod 600 ~/.ssh/authorized_keys

常見問題

問題現象：

hadoop148機器已經生產rsa密鑰

且已經將public key添加到serverB機器/root/.ssh/authorized_keys

但是ssh root@hadoop107機器時仍然需要輸入密碼，即無密碼認證失敗，

分析與處理： 

第一步：查看權限

用ssh -v debug訪問，日志如下，但是從日志看不到失敗原因，只知道在用publickey認證時，對端沒有reply;

再查看/var/log/secure日志

發現所有用戶的HOME目錄應該是700權限，否則會引起很多問題，這個問題同樣是由于這個原因

最終，執行chmod 700 root后解決

關于權限問題總結如下：

1) .ssh目錄的權限必須是700

2) 用戶目錄的權限必須是700，比如我是用root用戶操作的，則/root的權限必須是700

3) .ssh/authorized_keys文件權限必須是600

第二步：查看安全上下文

如果通過改變權限還不能解決問題，可以嘗試如下方法：

首先用ls -laZ檢查了一下.ssh目錄，果然不是ssh_home_t，則需要使用restorecon命令對.ssh目錄的context進行恢復。命令是：restorecon -r -vv /root/.ssh

第三步：分析/var/log/audit/audit.log日志

修改目錄用戶權限

chown -R root.root /root