集群部署專題之一：詳解集群間SSH無密碼登錄配置步驟

一、SSH簡介

SSH（Secure Shell）是一種網路安全協議，通過加密和認證機制實現安全訪問和文件傳輸等業務。傳統遠程登錄和文件傳輸方式有Telnet或FTP，這兩種方式都使用明文傳輸數據，存在很多安全隱患。SSH採用加密傳輸數據、提升認證強度等手段，剋服了Telnet和FTP應用中的安全性問題，實現了安全的遠程登錄和文件傳輸業務。

二、SSH登錄兩種常見的認證方式

SSH依賴埠(預設22埠)進行通信。SSH伺服器在指定埠偵聽連接請求，客戶端向SSH伺服器該指定埠發起連接請求後，雙方建立一個TCP連接，後續通過該埠通信。

SSH客戶端向SSH伺服器發起認證請求，服務端對客戶端進行認證，有以下兩種常見的認證方式：

1、密碼（password）認證

通過用戶名和密碼的方式進行認證，客戶端將加密後的用戶名和密碼發送給伺服器，伺服器解密後與本地保存的用戶名和密碼進行對比，並向客戶端返回認證成功或失敗的消息。

密碼認證流程：

• SSH客戶端向SSH伺服器發送登錄請求。
• SSH伺服器將伺服器公鑰發送給SSH客戶端。
• SSH客戶端輸入密碼，使用伺服器公鑰加密密碼後發送給SSH伺服器。
• SSH伺服器收到密文，使用伺服器私鑰解密得到密碼。驗證密碼是否正確，如果正確則認證通過。

密碼認證方式比較簡單，每次登錄需要輸入用戶名和密碼，但存在中間人攻擊的風險，如果有人截獲了SSH客戶端的登錄請求後，冒充SSH伺服器將偽造的公鑰發送給SSH客戶端，就可能獲取到用戶的登錄密碼。

2、密鑰（publickey）認證

客戶端通過用戶名，公鑰以及公鑰演算法等信息來與伺服器進行認證，密鑰認證可以實現安全性更高的免密登錄，是一種廣泛使用且推薦的登錄方式。

秘鑰認證流程：

• 在進行SSH連接之前，需要首先生成客戶端的公鑰私鑰對，並將客戶端公鑰存放到SSH伺服器上。
• SSH客戶端向SSH伺服器發送登錄請求。
• SSH伺服器根據請求中的用戶名等信息在本地搜索客戶端的公鑰，並用這個公鑰加密一個隨機數發送給客戶端。
• SSH客戶端使用自己的私鑰對返回信息進行解密，併發送給SSH伺服器。
• SSH伺服器驗證SSH客戶端解密的信息是否正確，如果正確則認證通過。

三、無密碼登錄配置

• 伺服器節點規劃

10.206.6.24  #SSH客戶端，work客戶端賬號
10.206.6.23  #SSH服務端

• 配置目標：
  在客戶端work賬號下可以直接無密碼使用root賬號登錄服務端。

1、客戶端生成公鑰和私鑰

使用work賬號登錄(work為配置無密碼登錄的測試賬號)客戶端，輸入命令：ssh-keygen -t rsa，在輸入提示處，直接按確定即可。

[work@VM-6-24-rockylinux ~]$ ssh-keygen -t rsa
Generating public/private rsa key pair.
Enter file in which to save the key (/home/work/.ssh/id_rsa): 
Created directory '/home/work/.ssh'.
Enter passphrase (empty for no passphrase): 
Enter same passphrase again: 
Your identification has been saved in /home/work/.ssh/id_rsa
Your public key has been saved in /home/work/.ssh/id_rsa.pub
The key fingerprint is:
SHA256:eTluXlSSrU4VxAgAbyuzKr1Tj8j9AWdyRp1kGvEz0kc work@VM-6-24-rockylinux
The key's randomart image is:
+---[RSA 3072]----+
|      ..+o+.E+o  |
|       . O o.o.. |
|        * B + +  |
|       o + = =   |
|      = S + +    |
|      .@ o =     |
|   o +.o. o o    |
|  . =.o .+ .     |
|   .oo .. .      |
+----[SHA256]-----+

執行完成後，在當前用戶的~/.ssh目錄下生成id_rsa和id_rsa.pub文件，id_rsa為客戶端私鑰，id_rsa.pub為客戶端公鑰。

[work@VM-6-24-rockylinux ~]$ tree -a ~/.ssh
/home/work/.ssh
├── id_rsa
└── id_rsa.pub

0 directories, 2 files

.ssh為隱藏目錄，可以使用ll -a命令查看。

2、上傳客戶端公鑰到服務端

上傳方式一：自動上傳

ssh-copy-id [email protected]
然後輸入服務端密碼即可。

上傳方式二：手動上傳

註意：如果想要配置服務端root賬號的無密碼登錄，就在服務端root賬號的/root/.ssh/目錄下執行以下操作，如果是要配置其他賬號的無密碼登錄就在指定賬號的~/.ssh/目錄下執行以下操作。

1、創建服務端目錄(在服務端執行)
mkdir -p ~/.ssh
2、上傳客戶端公鑰（在客戶端執行）
scp -r id_rsa.pub [email protected]:/root/.ssh/
3、創建authorized_keys文件（在服務端執行）
touch ~/.ssh/authorized_keys
4、文件許可權設置（在服務端執行）
touch ~/.ssh/authorized_keys 
chmod 710 ~/.ssh/authorized_keys 
5、將公鑰信息寫入authorized_keys文件（在服務端執行）
cat id_rsa.pub >> authorized_keys

3、驗證

在客戶端work賬號下執行，ssh [email protected]無需密碼即可登錄服務端。

四、開發、運維實用工具推薦

接下來向大家推薦一款對日常開發和運維，極具有實用價值的好幫手XL-LightHouse。

一鍵部署，一行代碼接入，無需大數據相關研發運維經驗就可以輕鬆實現海量數據實時統計，使用XL-LightHouse後：

• 再也不需要用Flink、Spark、ClickHouse或者基於Redis這種臃腫笨重的方案跑數了；
• 再也不需要疲於應付對個人價值提升沒有多大益處的數據統計需求了，能夠幫助您從瑣碎反覆的數據統計需求中抽身出來，從而專註於對個人提升、對企業發展更有價值的事情；
• 輕鬆幫您實現任意細粒度的監控指標，是您監控服務運行狀況，排查各類業務數據波動、指標異常類問題的好幫手；
• 培養數據思維，輔助您將所從事的工作建立數據指標體系，量化工作產出，做專業嚴謹的職場人，創造更大的個人價值；

XL-LightHouse簡介

• XL-LightHouse是針對互聯網領域繁雜的流式數據統計需求而開發的一套集成了數據寫入、數據運算、數據存儲和數據可視化等一系列功能，支持超大數據量，支持超高併發的【通用型流式大數據統計平臺】。
• XL-LightHouse目前已涵蓋了常見的流式數據統計場景，包括count、sum、max、min、avg、distinct、topN/lastN等多種運算，支持多維度計算，支持分鐘級、小時級、天級多個時間粒度的統計，支持自定義統計周期的配置。
• XL-LightHouse內置豐富的轉化類函數、支持表達式解析，可以滿足各種複雜的條件篩選和邏輯判斷。
• XL-LightHouse是一套功能完備的流式大數據統計領域的數據治理解決方案，它提供了比較友好和完善的可視化查詢功能，並對外提供API查詢介面，此外還包括數據指標管理、許可權管理、統計限流等多種功能。
• XL-LightHouse支持時序性數據的存儲和查詢。

GitHub搜索XL-LightHouse瞭解更多！