配置各台虚拟机之间免秘钥登录

在不改变文章大意的情况下进行伪原创，并保持图片的位置和原始格式，原文的语言不变。以下是经过伪原创处理后的文章：

如何在虚拟机集群中配置免秘钥登录

环境准备：我使用的是一个由5台虚拟机组成的服务器集群，分别命名为repo、node001、node002、node003和node004。有关如何构建虚拟机集群的详细步骤，请参考：在Windows中安装一台Linux虚拟机，并通过现有的虚拟机克隆出四台新虚拟机。

1. 方法一

   (1) 在repo虚拟机的/root/.ssh目录下生成repo的公钥。如果/root/.ssh目录不存在，使用ssh命令登录自身即可自动创建该目录。

   [root@repo ~]# ssh repo
   # 输入密码进行登录
   [root@repo ~]# exit
   [root@repo ~]# 

   登录后复制

   也可以手动创建该目录。然后生成repo的公钥：

   [root@repo ~]# ssh-keygen -t dsa -P '' -f ~/.ssh/id_dsa
   [root@repo ~]# ll -a
   drwx------   2 root root  4096 7月   4 12:53 .ssh
   [root@repo ~]# cd .ssh
   # repo 的 .ssh 目录下没有 known_hosts 文件
   [root@repo .ssh]# ll
   -rw------- 1 root root 668 Sep 16 19:07 id_dsa # 私钥
   -rw-r--r-- 1 root root 599 Sep 16 19:07 id_dsa.pub # 公钥

   登录后复制

   (2) 使用ssh命令登录node001到node004的自身虚拟机，以生成.ssh目录和其中的known_hosts文件。

   [root@node001 ~]# ssh node001
   [root@node001 ~]# exit
   [root@node001 ~]# cd .ssh
   [root@node001 .ssh]# ll
   # 没有公钥和私钥，只有known_hosts文件
   -rw-r--r-- 1 root root 403 Sep 16 19:14 known_hosts
   [root@node002 ~]# ssh node002
   [root@node002 ~]# exit
   [root@node003 ~]# ssh node003
   [root@node003 ~]# exit
   [root@node004 ~]# ssh node004
   [root@node004 ~]# exit

   登录后复制

   (3) 在node001到node004的/root目录下创建一个文件夹，用于存放repo的公钥。

   [root@node001 ~]# mkdir pub
   [root@node002 ~]# mkdir pub
   [root@node003 ~]# mkdir pub
   [root@node004 ~]# mkdir pub

   登录后复制

   (4) 将repo的公钥复制到其他节点。

   [root@repo .ssh]# scp ./id_dsa.pub node001:/root/pub/repo.pub
   [root@repo .ssh]# scp ./id_dsa.pub node002:/root/pub/repo.pub
   [root@repo .ssh]# scp ./id_dsa.pub node003:/root/pub/repo.pub
   [root@repo .ssh]# scp ./id_dsa.pub node004:/root/pub/repo.pub

   登录后复制

   (5) 将repo的公钥内容追加到node001到node004的authorized_keys文件中。

   [root@node001 ~]# cat ~/pub/repo.pub >> ~/.ssh/authorized_keys
   [root@node002 ~]# cat ~/pub/repo.pub >> ~/.ssh/authorized_keys
   [root@node003 ~]# cat ~/pub/repo.pub >> ~/.ssh/authorized_keys
   [root@node004 ~]# cat ~/pub/repo.pub >> ~/.ssh/authorized_keys

   登录后复制

   (6) 配置repo自身的免秘钥登录。

   [root@repo .ssh]# cat ./id_dsa.pub >> ./authorized_keys

   登录后复制

   完成上述配置后，repo可以使用ssh免秘钥登录自身和node001到node004。然而，node001到node004仍然无法免秘钥登录其他虚拟机。为了实现这一点，需要为每个节点生成公钥，并将其内容追加到其他虚拟机的authorized_keys文件中。

   当虚拟机数量较多时，这种方法会变得繁琐且容易出错。

2. 方法二

   (1) 在repo的.ssh目录下生成公钥，参考方法一的步骤(1)。

   (2) 使用ssh-copy-id命令配置repo到node001的免秘钥登录。

   [root@repo .ssh]# ssh-copy-id node001

   登录后复制

   (3) 同样，配置repo到其他节点的免秘钥登录。

   [root@repo .ssh]# ssh-copy-id node002
   [root@repo .ssh]# ssh-copy-id node003
   [root@repo .ssh]# ssh-copy-id node004

   登录后复制

   (4) 如果需要配置node001到其他节点的免秘钥登录，重复(1)(2)(3)步骤。

   [root@node001 ~]# ssh-keygen -t dsa -P '' -f ~/.ssh/id_dsa
   [root@node001 .ssh]# ssh-copy-id repo
   [root@node001 .ssh]# ssh-copy-id node002
   [root@node001 .ssh]# ssh-copy-id node003
   [root@node001 .ssh]# ssh-copy-id node004

   登录后复制

   (5) 如果需要配置所有机器之间的免秘钥登录，给每个机器执行(1)(2)(3)步骤。这种方法比第一种方法简单，但当虚拟机数量较多时，仍然较为繁琐。

3. 方法三

   (1) 在repo的.ssh目录下生成公钥，参考方法一的步骤(1)。

   (2) 将repo的公钥内容写入authorized_keys文件，使其可以免秘钥登录自身，参考方法一的步骤(6)。

   (3) 在repo中，查看authorized_keys文件，复制文件中的内容，并在末尾粘贴4份，仅修改最后的节点名称为node001、node002、node003和node004。

   [root@repo .ssh]# vi authorized_keys

   登录后复制

   

   (4) 将.ssh文件夹分发给node001到node004。

   [root@repo .ssh]# scp ./* node001:`pwd`
   [root@repo .ssh]# scp ./* node002:`pwd`
   [root@repo .ssh]# scp ./* node003:`pwd`
   [root@repo .ssh]# scp ./* node004:`pwd`

   登录后复制

   完成上述配置后，所有的虚拟机都可以实现两两之间以及自身的ssh免秘钥登录。然而，这种方法简单但不安全，不建议在生产环境中使用。

4. 方法四：使用Shell脚本自动执行

   (1) 编写一个脚本autoSSH.sh，该脚本可以在集群的任意节点上运行，实现当前服务器到任意其他节点的SSH免秘钥登录配置。

   该脚本的主要功能包括：

   • 自动为当前运行的节点生成公钥私钥对。
   • 自动将自己的公钥文件内容追加到其他服务器的authorized_keys文件中。

   脚本内容：

   #!/bin/bash
   <h1>脚本接收的参数，也就是要互相配置 SSH 免密登录的服务器列表参数</h1><p>BASE_HOST_LIST=$*</p><h1>密码，默认用户是当前运行脚本的用户，比如 root 用户</h1><h1>这里改成你的用户对应的密码</h1><p>BASE_PASSWORD="root"</p><h1>shell 函数：模拟 SSH 公钥私钥文件生成的人机交互过程</h1><p>sshkeygen(){
   expect -c "
   spawn ssh-keygen
   expect {
   \"ssh/id_rsa):\" {send \"\r\";exp_continue}
   \"passphrase):\" {send \"\r\";exp_continue}
   \"again:\" {send \"\r\";exp_continue}
   }
   "
   }</p><h1>shell 函数：模拟配置 SSH 免密登录过程的人机交互过程</h1><p>sshcopyid(){
   expect -c "
   spawn ssh-copy-id $1
   expect {
   \"(yes/no)?\" {send \"yes\r\";exp_continue}
   \"password:\" {send \"$2\r\";exp_continue}
   }
   "
   }</p><h1>本机生成密钥对</h1><p>sshkeygen</p><h1>然后本机跟其他服务器建立 SSH 免密登录(包括自己)</h1><p>for SSH_HOST in ${BASE_HOST_LIST}
   do
   sshcopyid ${SSH_HOST} ${BASE_PASSWORD}
   done

   登录后复制

   (2) 编写一个启动脚本startAutoSSH.sh，该脚本在基准服务器repo上运行，是整个自动批量配置SSH免秘钥登录程序的启动程序。

   该脚本的主要功能包括：

   • 发送autoSSH.sh到集群各节点。
   • 发送命令让各节点自动执行该配置脚本：autoSSH.sh。

   脚本内容：

   #!/bin/bash</p><h1>配置 SSH 免密登录的服务器列表，可写死，也可通过传参或者读配置文件的方式读取</h1><h1>BASE_HOST_LIST="node001 node002 node003"</h1><p>BASE_HOST_LIST=$*</p><h1>脚本的放置目录（传送之前，和传送之后都是这个目录）</h1><p>SCRIPT_PATH="/root/autoSSH.sh"</p><h1>第一步：先让自己先跑 autoSSH.sh 脚本，为了能顺利发送脚本到集群各节点</h1><p>sh ${SCRIPT_PATH} ${BASE_HOST_LIST}</p><h1>第二步：把脚本发送给其他服务器，让其他服务器也执行该脚本</h1><p>for SSH_HOST in $BASE_HOST_LIST
   do</p><h2>first : send install script</h2><pre class="brush:php;toolbar:false">## 注意这行，用户名写死为root，如果是其他用户，记得在这里修改
   scp -r $SCRIPT_PATH root@${SSH_HOST}:$SCRIPT_PATH
   ## send command and generate ssh and auto ssh
   ssh ${SSH_HOST} sh ${SCRIPT_PATH} ${BASE_HOST_LIST}

   登录后复制

   done

   (3) 在配置SSH免秘钥登录之前，进行远程拷贝scp时会有人机交互过程，我们使用expect来模拟这一过程。然而，不同的服务器版本可能尚未安装expect，最佳解决方案是自动安装。在此，我们假设各台服务器都已安装并能正常使用expect。

   如果需要安装expect，请使用以下命令：

   yum -y install expect

   登录后复制

   (4) 在基准服务器repo上执行以下命令：

   [root@repo ~]# sh startAutoSSH.sh node001 node002 node003 node004

   登录后复制

   该命令表示：在repo服务器上，用户root执行脚本startAutoSSH.sh，让集群四个节点node001、node002、node003和node004进行互相SSH免秘钥登录配置。

   脚本执行完成后，四台服务器的root用户主目录/root/.ssh目录下将生成一个authorized_keys文件，其内容如下：

   

   选择node001进行验证：

   [root@node001 ~]# ssh node001
   Last login: Thu Dec 21 04:06:52 2017 from 192.168.21.1
   [root@node001 ~]# exit
   logout
   Connection to node001 closed.
   [root@node001 ~]# ssh node002
   Last login: Thu Dec 21 04:06:31 2017 from node001
   [root@node002 ~]# exit
   logout
   Connection to node002 closed.
   [root@node001 ~]# ssh node003
   Last login: Thu Dec 21 04:06:36 2017 from node001
   [root@node003 ~]# exit
   logout
   Connection to node003 closed.
   [root@node001 ~]# ssh node004
   Last login: Thu Dec 21 04:06:06 2017 from node003
   [root@node004 ~]# exit
   logout
   Connection to node004 closed.
   [root@node001 ~]# 

   登录后复制

5. 其他说明

   注意：配置完成后，第一次从当前虚拟机远程连接其他虚拟机时，可能会出现确认是否连接的信息或要求输入密码。登录一次后，以后即可直接进行免秘钥登录。

   以上介绍的4种方法，推荐使用第四种方式：使用Shell脚本自动实现ssh免秘钥登录。

6. 补充记录

   2018-03-14：如果配置的是非root用户的免秘钥登录，authorized_keys文件的权限需要修改为600，否则无法实现免秘钥登录。

   2018-08-16：如果配置后无法实现免秘钥登录，请尝试重启ssh服务：

   sudo service sshd restart

   登录后复制

以上就是配置各台虚拟机之间免秘钥登录的详细内容，更多请关注php中文网其它相关文章！