SSH雙機互信及錯誤解決大全

在linux系統管理中，設置免密碼登陸，進行機器的批量管理是最經常使用的一個方法。好比針對幾十甚至上百臺線上機器，一般咱們會設置一臺「發佈機」做爲中央控制機對其它線上機器免密碼登陸，

而後進行軟件、配置文件的分發、更新、部署。固然了，針對上面的問題，解決方案並不是最優且惟一，好比你也能夠用expect模擬自動輸入來完成自動登陸驗證這一過程，或者用如今一些開源的

軟件自動化配置和部署工具，好比 Puppet，但這都不在本文的討論範疇，今天我們要說的就是這種最原始、最有效、最直接的方式：免密碼登陸。

 

1、環境介紹

兩臺機器

一、我的機 192.168.1.2 主機名 jacken

二、服務器 192.168.1.3 主機名 lamp

2、操做步驟

一、我的機建立公鑰

[root@jacken ~]# ssh-keygen -t rsa
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa): "回車"
Enter passphrase (empty for no passphrase): 
Enter same passphrase again: "回車"
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
The key fingerprint is:
64:f3:67:a7:8e:11:d8:b1:fc:7d:34:f4:57:0d:e3:86 root@jacken
The key's randomart p_w_picpath is:
+--[ RSA 2048]----+
|              o  |
|             o o.|
|        + . E o.o|
|       o * o .. o|
|        S * o ..+|
|           = + .o|
|          . o . .|
|           +   . |
|          . .    |
+-----------------+
二、複製公鑰到服務器並被信任
[root@jacken ~]# ssh-copy-id root@192.168.1.3
root@192.168.1.3's password: 
Now try logging into the machine, with "ssh 'root@192.168.1.3'", and check in:
  .ssh/authorized_keys
to make sure we haven't added extra keys that you weren't expecting.
[root@jacken ~]#
三、測試
[root@jacken ~]# ssh 192.168.1.3 hostname
lamp
[root@jacken ~]# ping server01
PING server01 (192.168.1.3) 56(84) bytes of data.
64 bytes from server01 (192.168.1.3): icmp_seq=1 ttl=64 time=0.855 ms
^C
--- server01 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 509ms
rtt min/avg/max/mdev = 0.855/0.855/0.855/0.000 ms
[root@jacken ~]# 
[root@jacken ~]# ssh server01 'ifconfig eth0'
eth0      Link encap:Ethernet  HWaddr 00:0C:29:21:CB:7C  
          inet addr:192.168.1.3  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: fe80::20c:29ff:fe21:cb7c/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:2756 errors:0 dropped:0 overruns:0 frame:0
          TX packets:2072 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:266491 (260.2 KiB)  TX bytes:301395 (294.3 KiB)
3、常見錯誤
一、在使用 ssh-copy-id 錯誤提示
錯誤提示：
ssh-copy-id:/usr/bin/ssh-copy-id: ERROR: No identities found 
解決方法：
缺乏公鑰路徑，加上IP便可
ssh-copy-id -i ~/.ssh/id_dsa.pub user@remote_ip 
二、ssh ip 能夠成功登陸，ssh hostname 卻失敗
錯誤提示：
ssh: connect to host localhost port 22: Connection refused
解決方法：
看下對方的主機名是否是在 /etc/hosts 文件中和 ip 作了映射，沒有就加上便可。
三、ssh 的配置目錄權限問題
錯誤提示：
登陸的時候依舊讓輸入密碼
因爲 ssh 的權限直接關係到服務器的安全問題，所以 ssh 每次讀取配置都會校驗相關文件夾和文件的權限，以防止權限過大對外暴露。 
解決方法：
服務端的.ssh目錄權限要是700 authorized_keys權限600
四、ssh localhost：publickey 受權失敗
解決辦法：
#vim /etc/ssh/sshd_config 
開啓這3行，重啓服務便可
RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile     .ssh/authorized_keys
五、ssh localhost：須要密碼 
解決方法：
cat ~/.ssh/id_rsa.pub >> ~/.ssh/authorized_keys 
六、Selinux與Iptables阻攔
解決方法：
關閉Selinux：
#sed -i '/SELINUX/s/enforcing/disabled/' /etc/selinux/config (重啓生效)
#setenforce 0 (警告模式,至關於臨時關閉)
設置Iptables：
#iptables -A INPUT -p tcp --dport 22 -j ACCEPT
#iptables -A INPUT -p tcp --dport 1234 -j ACCEPT
#/etc/rc.d/init.d/iptables save
#/etc/rc.d/init.d/iptables restart

原文連接：http://linuxnote.blog.51cto.com/9876511/1641930