### CentOS实现非root账户无密钥访问
在Linux系统中,使用SSH进行远程登录是非常常见的操作之一。然而,每次输入密码不仅效率低下,而且对于自动化运维来说极为不便。因此,实现无密码登录变得尤为重要。本文将详细介绍如何在CentOS系统上为非root用户配置SSH无密钥认证。
#### 一、为什么需要无密钥登录?
1. **提高效率**:避免每次SSH登录都需要手动输入密码,尤其是在批量管理多台服务器时。
2. **增强安全性**:通过公钥认证方式替代传统的密码验证,即使有人窃取了密码也无法登录系统。
3. **自动化运维基础**:为后续使用脚本或工具进行自动化部署、备份等操作打下基础。
#### 二、无密钥登录原理
SSH无密码登录是基于公钥加密技术实现的。具体步骤如下:
1. **创建密钥对**:在客户端生成一对密钥(公钥和私钥)。
2. **分发公钥**:将公钥复制到目标服务器上的`~/.ssh/authorized_keys`文件中。
3. **验证登录**:当用户尝试登录时,SSH服务端会使用存储的公钥来验证用户提交的私钥是否匹配。
#### 三、配置无密钥登录
下面将详细说明如何在CentOS环境下为非root用户配置无密码SSH登录。
##### 1. 在本地机生成SSH密钥对
假设我们需要从本地机`local-machine`通过SSH无密码登录到远程服务器`remote-server`上的`hadoop`用户。在本地机上执行以下命令来生成密钥对(如果没有已经存在的密钥对):
```bash
# 在本地机上执行
ssh-keygen -t rsa -P '' # 生成不带密码保护的RSA密钥对
```
此命令将在用户的家目录`.ssh`目录下生成两个文件:`id_rsa`(私钥)和`id_rsa.pub`(公钥)。
##### 2. 分发公钥至远程服务器
接下来,我们需要将本地机生成的公钥`id_rsa.pub`中的内容添加到远程服务器`remote-server`上的`hadoop`用户的`~/.ssh/authorized_keys`文件中。
- 确保远程服务器`remote-server`上的`hadoop`用户家目录下的`.ssh`目录存在,并且设置了正确的权限:
```bash
# 在远程服务器上执行
sudo su - hadoop # 切换到hadoop用户
mkdir -p ~/.ssh
chmod 700 ~/.ssh
```
- 使用`cat`命令查看本地机上生成的公钥内容,并将其添加到远程服务器的`authorized_keys`文件中:
```bash
# 在本地机上执行
cat ~/.ssh/id_rsa.pub | ssh hadoop@remote-server "cat >> .ssh/authorized_keys"
```
或者可以先保存公钥到文件,再使用`scp`命令将文件传输过去:
```bash
# 在本地机上执行
cat ~/.ssh/id_rsa.pub > authorized_keys
scp authorized_keys hadoop@remote-server:~/.ssh/
# 在远程服务器上执行
cat ~/.ssh/authorized_keys >> ~/.ssh/authorized_keys
rm ~/.ssh/authorized_keys
```
- 设置`authorized_keys`文件的正确权限:
```bash
chmod 600 ~/.ssh/authorized_keys
```
##### 3. 测试无密码登录
完成上述步骤后,我们可以在本地机上尝试无密码登录远程服务器:
```bash
# 在本地机上执行
ssh hadoop@remote-server
```
如果一切正常,你应该能够直接登录到远程服务器而无需输入密码。
#### 四、注意事项
1. **权限设置**:确保`.ssh`目录及其包含的所有文件都有正确的权限设置。
2. **安全考量**:虽然无密码登录非常方便,但也增加了系统的潜在风险。建议结合其他安全措施一起使用,如限制SSH登录端口、使用防火墙规则等。
3. **密钥保护**:妥善保管私钥文件,不要将其泄露给任何人。一旦私钥丢失或被窃取,任何人都可以通过该私钥登录到你的系统。
通过以上步骤,我们可以轻松地为CentOS系统中的非root用户配置SSH无密钥登录,从而提高工作效率并加强系统安全性。
