SSH互信配置过程

最新推荐文章于 2025-02-28 14:52:20 发布
转载 最新推荐文章于 2025-02-28 14:52:20 发布 · 437 阅读 · 1

无意间看到这篇文章,觉得日后可能会用得上,因此收藏起来,同时也希望能对小伙伴有所帮助

 

背景:前两天一套oracle RAC集群出问题,需要重新建库,dbca建库过程提示无法创建数据库,经排查原因为ssh互信配置失效,需重新配置。

配置过程如下:

1.在两台机器上生成认证文件,这里有个细节,就是ssh互信的认证文件,需要放在用户的home目录下的.ssh目录中,因此我们要首先建立这个目录,并且保证这个目录的权限是755

一节点操作:

 

[oracle@mysql01 ~]$ mkdir .ssh
[oracle@mysql01 ~]$ chmod 755 .ssh
[oracle@mysql01 ~]$ /usr/bin/ssh-keygen -t rsa
[oracle@mysql01 ~]$ /usr/bin/ssh-keygen -t dsa1234

二节点做同样的操作:

 

[oracle@mysql02 ~]$ mkdir .ssh
[oracle@mysql02 ~]$ chmod 755 .ssh
[oracle@mysql02 ~]$ /usr/bin/ssh-keygen -t rsa
[oracle@mysql02 ~]$ /usr/bin/ssh-keygen -t dsa1234

2.将所有的key文件汇总到一个总的认证文件中:

 

[oracle@mysql01 ~]$ cat ~/.ssh/id_rsa.pub >> ~/.ssh/authorized_keys
[oracle@mysql01 ~]$ cat ~/.ssh/id_dsa.pub >> ~/.ssh/authorized_keys
[oracle@mysql01 ~]$ ssh oracle@mysql02 cat ~/.ssh/id_rsa.pub >> ~/.ssh/authorized_keys
[oracle@mysql01 ~]$ ssh oracle@mysql02 cat ~/.ssh/id_dsa.pub >> ~/.ssh/authorized_keys1234

3.经过1,2两步,目前mysql01上存在一份完整的认证key文件,这时候,把它拷到mysql02主机的对应目录下:

 

[oracle@mysql01 ~]$ scp ~/.ssh/authorized_keys mysql02:~/.ssh/1

配置完成!

========================================================

上面的操作太复杂,而且按照上面的方法配置三个及以上的服务器互信之后,实际上是有问题的。 
既简单又有效的配置方法如下:

例如在四台服务器server1,server2,server3,server4上为hadoop用户配置互信。

第一步:登录hadoop用户,执行如下命令生成公钥:

[hadoop@server1 ~]$ ssh-keygen -t rsa   #下面一直按回车就好1

第二步:用ssh-copy-id 把公钥复制到各个主机上(包括自己):

 

[hadoop@server1 ~]$ ssh-copy-id -i  .ssh/id_rsa.pub hadoop@server1
[hadoop@server1 ~]$ ssh-copy-id -i  .ssh/id_rsa.pub hadoop@server2
[hadoop@server1 ~]$ ssh-copy-id -i  .ssh/id_rsa.pub hadoop@server3
[hadoop@server1 ~]$ ssh-copy-id -i  .ssh/id_rsa.pub hadoop@server41234

第三步:在其他server上执行上面两步的命令。

至此,ssh互信配置完成。
 

SSH互信配置:建立服务器之间的信任关系
XhClojure的博客
10-02 1712
在服务器管理和远程连接中,SSH(Secure Shell)是一种常用的安全协议。生成密钥对后,你将在指定的位置找到两个文件:id_rsa(私钥)和id_rsa.pub(公钥)。这将生成一个RSA密钥对。重复上述步骤,将每台服务器的公钥复制到其他服务器上。如果你没有为密钥对设置密码,将直接登录到目标服务器。如果你在之前已经为服务器设置了SSH密钥对,请备份好原始密钥对,以免丢失连接。接下来,将公钥复制到其他服务器上,以配置服务器之间的信任关系。在生成密钥对和复制公钥时,确保你具有适当的权限和访问权限。
linux SSH互信生效问题排查
赶路人儿
02-01 1473
日志中很清楚的反应了因为/root目录权限的问题,导致互信失败。后来发现172.172.230.210 上的/root 目录的权限为777,修改为700或者750问题解决。根据日志可以看到,app用户被锁。发现仍然需要输入密码。确保SELINUX=disabled。
配置ssh互信
JokerGreta的博客
03-10 1772
(1)检查是否安装ssh ssh -version,若是如下显示则已安装。 (2)使用ssh localhost命令验证配置前无法连接本机 (3)ls -a ,查看隐藏目录.ssh 生成密钥(3个节点都要生成) ssh-keygen -t dsa -P ‘’ -f /root/.ssh/id_dsa 查看到.ssh目录下有两个文件生成,分别是id_dsa、id_dsa.pub,这是SSH的一对私钥和公钥 (4)将id_dsa.pub追加到授权的key中,键入一下命令: cat /root/.ssh/i
linux ssh互信配置
mamengna的博客
12-16 870
环境: node1:192.168.3.20 node2:192.168.3.21 用到的命令 ssh-keygen:创建公钥和密钥,会生成id_rsa和id_rsa.pub两个文件 ssh-copy-id:把本地的公钥复制到远程主机的authorized_keys文件(会覆盖文件,是追加到文件末尾),并且会设置远程主机用户目录的.ssh和.ssh/authorized_keys权限 权限为: chmod 700 ~/.ssh chmod 600 ~/.ssh/authorized_...
SSH互信配置操作指南
机智的三三的博客
02-28 1031
的无密码互访,适用于Hadoop集群、Oracle RAC等分布式系统部署场景。通过上述配置,可实现。
SSH互信配置
hhy_iiiii的博客
12-28 560
生成密钥对,并分发追加到各自主机。server1节点验证。
ssh互信配置
雪辉博客
07-29 608
# 每个节点都执行 ssh-keygen -t rsa # 一路回车 # 将公钥添加到认证文件中 cat ~/.ssh/id_rsa.pub >> ~/.ssh/authorized_keys # 并设置authorized_keys的访问权限 chmod 600 ~/.ssh/authorized_keys # 只要在一个节点执行即可 ssh node2 cat ~/.ssh/id_rsa.pub >>~/.ssh/authorized_keys ssh node3 cat ~/
精选资源
Linux快速配置集群SSH互信
01-09
之前在《 记录一则Linux SSH互信配置过程 》、《 Vertica 7.1安装佳实践(RHEL6.4) 》中,都分别提到了配置ssh互信的方法,本文在此基础上进一步整理配置ssh互信的方法,目的是将步骤尽可能的简化,从而更加适合...
linux虚拟机间SSH互信配置
vasonyang随记
03-10 868
master、slave1、slave2 SSH互信设置 1、在master、slave1、slave2中分别执行ssh-keygen -t rsa 然后三次回车生成密钥 2、在master中执行 cat /root/.ssh/id_rsa.pub > /root/.ssh/authorized_keys 3、将slave1和slave2中 /root/.ssh/id_rsa.pub中的文件...
git的ssh互信
06-19
Git的SSH互信是Git版本控制系统中用于安全地在客户端和服务器之间传输数据的一种机制。SSH(Secure Shell)是一种网络协议,它允许用户通过加密...通过合理配置SSH互信可以极大地提升开发效率并保护代码仓库的安全。
Linux SSH互信配置
tttt0611的博客
10-10 5143
linux系统,两用户能相互免密码进行ssh连接或登录
配置SSH互信
Demitto在走路
05-07 513
两个节点分别为node01与node02。 node01: ssh-keygen -t rsa ssh-keygen -t dsa node02: ssh-keygen -t rsa ssh-keygen -t dsa node01: cat ~/.ssh/id_rsa.pub >> ~/.ssh/authorized_keys cat ~/.ssh/id_dsa.pub
Linux中SSH互信配置
幸运的Alina的博客
05-11 603
Linux的SSH互信配置的时候需要注意一些事情,比如在互信的用户名是否在每台机器都存在,然后互信步骤按照如下进行可以避免出现一些在某些机器上登陆需要密码,反过来登需要密码的问题 。 首先在每一台需要建立互信的机器上生成密钥,命令就是 ssh-keygen -t rsa -P '' 然后确保每一台机器上的密钥都生成后,会使用其中的公钥,再生成的时候会提示你,按着提示往下进行就好,...
ssh互信配置及简单流程分析
哈哈哈的博客
02-24 648
一、ssh互信配置(以A免秘钥登陆B为例): A-----------------------A免密钥登陆B----------------------->B A:ssh-keygen -t rsa生成公/私钥对,公/私钥存放的文件位置分别是~/.ssh/id_rsa.pub和~/.ssh/id_rsa A:把A的公钥,即A的~/.ssh/id_rsa.pub文件内容拷贝到B的~/.ssh/
配置SSH公钥互信
star103301的博客
07-21 1079
注:为了方便看出两台主机的同,可以先修改主机名修改servera再重新登录,就可以看到修改成功了修改serverb退出再重新登录。
SSH 互信一键配置配置
cxj252的博客
07-04 220
SSH 互信一键配置配置
节点间SSH互信配置
02-13 1394
确认ssh可以运行 0.1. 修改sshd_config文件:vi /etc/ssh/sshd_config: 将#PasswordAuthentication no的注释去掉,并且将NO修改为YES 将#PermitRootLogin yes的注释去掉,这样root可以通过ssh登录 0.2. 重新启动SSH服务,命令为:/etc/init.d/sshd restart 0.3. 验证
配置互信,但是ssh需要输入密码
最新发布
10-16
<think>嗯,用户遇到了配置SSH互信后仍然需要输入密码的问题。从引用内容来看,这确实是SSH配置中常见的坑,尤其权限设置和PAM策略容易被忽略。用户可能正在管理多台Ubuntu服务器,需要批量操作或者搭建集群环境,这类问题会严重影响工作效率。 用户提供的三个引用很有价值:引用[1]指出目录权限问题,引用[2]展示完整配置流程但可能遗漏细节,引用[3]则揭示非root用户的系统级策略限制。需要把这些点系统化整合。 核心解决方向其实很清晰:先确认权限(用户主目录/.ssh/authorized_keys),再检查SELinux/PAM策略,最后验证密钥文件有效性。特别要注意用户是用su切换还是直接登录的,引用[1]强调必须原始用户操作权限修改,这点容易被忽视。 考虑到用户是技术人员,回复需要: 第一,给出可操作的检查清单,比如权限数字700和600必须精确 第二,解释原理帮助理解,比如为什么home目录权限过高会导致SSH拒绝 第三,补充引用没提到的点,比如ssh -v调试和authorized_keys文件格式 用户应该会需要立即执行的命令,所以每条解决方案都配上具体命令示例。另外ta可能遭遇同场景(root/普通用户),解决方案要区分说明。最后主动提出延伸帮助很必要,这类问题往往需要具体日志分析。 </think>以下是配置 SSH 互信后仍需要密码的完整解决方案,综合引用内容并补充关键细节: --- ### **一、权限问题(最常见原因)** 1. **修复目录权限**(**务必在目标用户下操作**,可用 `su` 切换后执行): ```bash chmod 700 ~/.ssh # 关键! chmod 700 $HOME # 用户主目录权限(易忽略!见引用[1]的例子) chmod 600 ~/.ssh/authorized_keys # 密钥文件权限 ``` **原理**:SSH 严格要求目录权限为 `700`(仅用户可读写),密钥文件为 `600`,否则直接拒绝认证[^1]。 2. **验证路径所有权**: ```bash ls -ld ~/ ~/.ssh ~/.ssh/authorized_keys ``` **输出要求**:所有路径的**所属用户**必须与登录用户一致(例如 `ubuntu:ubuntu`),否则用 `chown` 修复。 --- ### **二、配置问题** 1. **检查密钥是否正确写入**: ```bash cat ~/.ssh/id_rsa.pub >> ~/.ssh/authorized_keys # 追加公钥到授权文件 ``` **注意**:避免手动复制粘贴可能引入换行符错误。 2. **确认服务端配置**(`/etc/ssh/sshd_config`): ```bash PubkeyAuthentication yes # 启用密钥认证 AuthorizedKeysFile .ssh/authorized_keys # 密钥路径正确 PasswordAuthentication no # 可选关闭密码登录(测试后启用) ``` 修改后重启 SSH:`sudo systemctl restart sshd` --- ### **三、扩展排查(其他常见原因)** 1. **SELinux 干扰**(CentOS/RHEL): ```bash sudo restorecon -Rv ~/.ssh # 修复安全上下文 ``` 2. **PAM 策略限制**(非 root 用户): - 检查 `/etc/pam.d/sshd` 和 `/etc/pam.d/system-auth` - **注释或修改**包含 `pam_succeed_if.so uid >= 1000` 的行(见引用[3]) 3. **文件权限递归问题**: ```bash chmod g-w,o-w $HOME # 确保主目录其他用户无写权限 ``` --- ### **四、调试命令** - **客户端调试**: ```bash ssh -vvv user@host # 查看详细的认证过程 ``` 关注 `Authentication refused` 或 `Permission denied` 错误线索。 - **服务端日志**: ```bash sudo tail -f /var/log/auth.log # Ubuntu/Debian sudo tail -f /var/log/secure # CentOS/RHEL ``` --- ### **解决方案总结** | **步骤** | **操作命令/检查点** | **关键点说明** | |--------------------|----------------------------------------|----------------------------------| | 1. 主目录权限 | `chmod 700 $HOME` | 用户主目录必须严格 700 | | 2. .ssh 权限 | `chmod 700 ~/.ssh` | 仅用户可访问 | | 3. 密钥文件权限 | `chmod 600 ~/.ssh/authorized_keys` | 禁止其他用户读取 | | 4. 文件所有权 | `chown -R user:user ~/.ssh` | 用户必须拥有所有权 | | 5. 服务端配置 | 检查 `PubkeyAuthentication yes` | 确保密钥认证已启用 | | 6. PAM 策略 | 注释 `pam_succeed_if.so` 限制策略 | 解决非 root 用户问题[^3] | > **重要提示**:所有权限修改必须**直接以目标用户登录操作**(非 `sudo` 或 `su` 切换),否则可能无效[^1]。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值