linux 互信配置

公钥认证的基本思想：

对信息的加密和解密采用不同的key，这对key分别称作private key和public key，其中，public key存放在欲登录的服务器上，而private key为特定的客户机所持有。当客户机向服务器发出建立安全连接的请求时，首先发送自己的public key，如果这个public key是被服务器所允许的，服务器就发送一个经过public key加密的随机数据给客户机，这个数据只能通过private key解密，客户机将解密后的信息发还给服务器，服务器验证正确后即确认客户机是可信任的，从而建立起一条安全的信息通道。通过这种方式，客户机不需要向外发送自己的身份标志“private key”即可达到校验的目的，并且private key是不能通过public key反向推断出来的。这避免了网络窃听可能造成的密码泄露。客户机需要小心的保存自己的private key，以免被其他人窃取，一旦这样的事情发生，就需要各服务器更换受信的public key列表。

配置ssh互信的步骤如下：

    1. 首先，在要配置互信的机器上，生成各自的经过认证的key文件；

    2. 其次，将所有的key文件汇总到一个总的认证文件中；

    3. 将这个包含了所有互信机器认证key的认证文件，分发到各个机器中去；

    4. 验证互信。

在主机名为dscn1,dscn2,dscn3上以相同的用户hadmin创建ssh互信。

1) 生成公钥

$> ssh-keygen –t rsa

         遇到提示均回车确定

         出现类似该图的输出时，公钥生成成功

         $> ssh dscn2

         以主机名dscn2为例，远程登陆至集群中另一节点，重复上述步骤生成公钥

         $> exit      退出远程登陆

         重复执行至所有节点成功生成公钥

2) 生成私钥

         以下操作都在同一节点中执行（以dscn1为例）

         $> cat ~/.ssh/id_rsa.pub >> ~/.ssh/authorized_keys       将dscn2的公钥放入dscn1的私钥中

         $> chmod 600 ~/.ssh/authorized_keys                                改变其权限

         $> ssh dscn2 cat ~/.ssh/id_rsa.pub >> ~/.ssh/authorized_keys

         以主机名dscn2为例，将dscn2的公钥放入dscn1的私钥中

         重复执行，将所有节点的公钥都添加至dscn1的私钥中

3) 复制私钥及known_hosts文件

         以下操作都在同一节点中执行（以dscn1为例）

$>ssh dscn1

         将本机也加入到known_hosts文件中

$> scp ~/.ssh/authorized_keys dscn2:~/.ssh/authorized_keys

$> scp ~/.ssh/known_hosts dscn2:~/.ssh/known_hosts

         将dscn1的私钥及known_hosts文件拷贝至节点dscn2

         重复执行，将dscn2的私钥及known_hosts文件拷贝至其他所有节点

4) 重启服务并验证

前面三个步骤在root和hadmin都执行过一次之后，此步骤只需要在root用户下执行一次

         $> systemctl restart sshd.service

         $> ssh dscn2 service sshd restart

         所有节点的sshd均需要重启

         尝试：

$> ssh dscn2

无密码即可直接登录，则配置成功