集群部署专题之一：详解集群间SSH无密码登录配置步骤

一、SSH简介

SSH（Secure Shell）是一种网络安全协议，通过加密和认证机制实现安全访问和文件传输等业务。传统远程登录和文件传输方式有Telnet或FTP，这两种方式都使用明文传输数据，存在很多安全隐患。SSH采用加密传输数据、提升认证强度等手段，克服了Telnet和FTP应用中的安全性问题，实现了安全的远程登录和文件传输业务。

二、SSH登录两种常见的认证方式

SSH依赖端口(默认22端口)进行通信。SSH服务器在指定端口侦听连接请求，客户端向SSH服务器该指定端口发起连接请求后，双方建立一个TCP连接，后续通过该端口通信。

SSH客户端向SSH服务器发起认证请求，服务端对客户端进行认证，有以下两种常见的认证方式：

1、密码（password）认证

通过用户名和密码的方式进行认证，客户端将加密后的用户名和密码发送给服务器，服务器解密后与本地保存的用户名和密码进行对比，并向客户端返回认证成功或失败的消息。

密码认证流程：

• SSH客户端向SSH服务器发送登录请求。
• SSH服务器将服务器公钥发送给SSH客户端。
• SSH客户端输入密码，使用服务器公钥加密密码后发送给SSH服务器。
• SSH服务器收到密文，使用服务器私钥解密得到密码。验证密码是否正确，如果正确则认证通过。

密码认证方式比较简单，每次登录需要输入用户名和密码，但存在中间人攻击的风险，如果有人截获了SSH客户端的登录请求后，冒充SSH服务器将伪造的公钥发送给SSH客户端，就可能获取到用户的登录密码。

2、密钥（publickey）认证

客户端通过用户名，公钥以及公钥算法等信息来与服务器进行认证，密钥认证可以实现安全性更高的免密登录，是一种广泛使用且推荐的登录方式。

秘钥认证流程：

• 在进行SSH连接之前，需要首先生成客户端的公钥私钥对，并将客户端公钥存放到SSH服务器上。
• SSH客户端向SSH服务器发送登录请求。
• SSH服务器根据请求中的用户名等信息在本地搜索客户端的公钥，并用这个公钥加密一个随机数发送给客户端。
• SSH客户端使用自己的私钥对返回信息进行解密，并发送给SSH服务器。
• SSH服务器验证SSH客户端解密的信息是否正确，如果正确则认证通过。

三、无密码登录配置

• 服务器节点规划

10.206.6.24  #SSH客户端，work客户端账号
10.206.6.23  #SSH服务端

• 配置目标：
  
  在客户端work账号下可以直接无密码使用root账号登录服务端。

1、客户端生成公钥和私钥

使用work账号登录(work为配置无密码登录的测试账号)客户端，输入命令：ssh-keygen -t rsa，在输入提示处，直接按确定即可。

[work@VM-6-24-rockylinux ~]$ ssh-keygen -t rsa
Generating public/private rsa key pair.
Enter file in which to save the key (/home/work/.ssh/id_rsa):
Created directory '/home/work/.ssh'.
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /home/work/.ssh/id_rsa
Your public key has been saved in /home/work/.ssh/id_rsa.pub
The key fingerprint is:
SHA256:eTluXlSSrU4VxAgAbyuzKr1Tj8j9AWdyRp1kGvEz0kc work@VM-6-24-rockylinux
The key's randomart image is:
+---[RSA 3072]----+
|      ..+o+.E+o  |
|       . O o.o.. |
|        * B + +  |
|       o + = =   |
|      = S + +    |
|      .@ o =     |
|   o +.o. o o    |
|  . =.o .+ .     |
|   .oo .. .      |
+----[SHA256]-----+

执行完成后，在当前用户的~/.ssh目录下生成id_rsa和id_rsa.pub文件，id_rsa为客户端私钥，id_rsa.pub为客户端公钥。

[work@VM-6-24-rockylinux ~]$ tree -a ~/.ssh
/home/work/.ssh
├── id_rsa
└── id_rsa.pub

0 directories, 2 files

.ssh为隐藏目录，可以使用ll -a命令查看。

2、上传客户端公钥到服务端

上传方式一：自动上传

ssh-copy-id root@10.206.6.23
然后输入服务端密码即可。

上传方式二：手动上传

注意：如果想要配置服务端root账号的无密码登录，就在服务端root账号的/root/.ssh/目录下执行以下操作，如果是要配置其他账号的无密码登录就在指定账号的~/.ssh/目录下执行以下操作。

1、创建服务端目录(在服务端执行)
mkdir -p ~/.ssh
2、上传客户端公钥（在客户端执行）
scp -r id_rsa.pub root@10.206.6.23:/root/.ssh/
3、创建authorized_keys文件（在服务端执行）
touch ~/.ssh/authorized_keys
4、文件权限设置（在服务端执行）
touch ~/.ssh/authorized_keys
chmod 710 ~/.ssh/authorized_keys
5、将公钥信息写入authorized_keys文件（在服务端执行）
cat id_rsa.pub >> authorized_keys

3、验证

在客户端work账号下执行，ssh root@10.206.6.23无需密码即可登录服务端。

四、开发、运维实用工具推荐

接下来向大家推荐一款对日常开发和运维，极具有实用价值的好帮手XL-LightHouse。

一键部署，一行代码接入，无需大数据相关研发运维经验就可以轻松实现海量数据实时统计，使用XL-LightHouse后：

• 再也不需要用Flink、Spark、ClickHouse或者基于Redis这种臃肿笨重的方案跑数了；
• 再也不需要疲于应付对个人价值提升没有多大益处的数据统计需求了，能够帮助您从琐碎反复的数据统计需求中抽身出来，从而专注于对个人提升、对企业发展更有价值的事情；
• 轻松帮您实现任意细粒度的监控指标，是您监控服务运行状况，排查各类业务数据波动、指标异常类问题的好帮手；
• 培养数据思维，辅助您将所从事的工作建立数据指标体系，量化工作产出，做专业严谨的职场人，创造更大的个人价值；

XL-LightHouse简介

• XL-LightHouse是针对互联网领域繁杂的流式数据统计需求而开发的一套集成了数据写入、数据运算、数据存储和数据可视化等一系列功能，支持超大数据量，支持超高并发的【通用型流式大数据统计平台】。
• XL-LightHouse目前已涵盖了常见的流式数据统计场景，包括count、sum、max、min、avg、distinct、topN/lastN等多种运算，支持多维度计算，支持分钟级、小时级、天级多个时间粒度的统计，支持自定义统计周期的配置。
• XL-LightHouse内置丰富的转化类函数、支持表达式解析，可以满足各种复杂的条件筛选和逻辑判断。
• XL-LightHouse是一套功能完备的流式大数据统计领域的数据治理解决方案，它提供了比较友好和完善的可视化查询功能，并对外提供API查询接口，此外还包括数据指标管理、权限管理、统计限流等多种功能。
• XL-LightHouse支持时序性数据的存储和查询。

GitHub搜索XL-LightHouse了解更多！