一：ssh原理圖為：

1、就是為了讓兩個linux機器之間使用ssh不需要用戶名和密碼。采用了數字簽名RSA或者DSA來完成這個操作

2、模型分析

假設 A （192.168.20.59）為客戶機器，B（192.168.20.60）為目標機；

要達到的目的：
A機器ssh登錄B機器無需輸入密碼；
加密方式選 rsa|dsa均可以，默認dsa

二、具體操作流程

單向登陸的操作過程（能滿足上邊的目的）：
1、登錄A機器
2、ssh-keygen -t [rsa|dsa]，將會生成密鑰文件和私鑰文件 id_rsa,id_rsa.pub或id_dsa,id_dsa.pub
3、將 .pub 文件復制到B機器的 .ssh 目錄， 並 cat id_dsa.pub >> ~/.ssh/authorized_keys
4、大功告成，從A機器登錄B機器的目標賬戶，不再需要密碼了；（直接運行 #ssh 192.168.20.60 ）

雙向登陸的操作過程：

1、ssh-keygen做密碼驗證可以使在向對方機器上ssh ,scp不用使用密碼.具體方法如下:
2、兩個節點都執行操作：#ssh-keygen -t rsa
然後全部回車,采用默認值.

3、這樣生成了一對密鑰，存放在用戶目錄的~/.ssh下。
將公鑰考到對方機器的用戶目錄下 ，並將其復制到~/.ssh/authorized_keys中（操作命令：#cat id_dsa.pub >> ~/.ssh/authorized_keys）。

4、設置文件和目錄權限：用hadoop 用戶進行 /home/hadoop 主目錄，如果是多台linux ，最好每台上的用戶名建成一樣

設置authorized_keys權限
$ chmod 600 authorized_keys
設置.ssh目錄權限
$ chmod 700 -R .ssh

5、要保證.ssh和authorized_keys都只有用戶自己有寫權限。否則驗證無效。（今天就是遇到這個問題，找了好久問題所在），其實仔細想想，這樣做是為了不會出現系統漏洞。

我從20.60去訪問20.59的時候會提示如下錯誤：

1. The authenticity of host '192.168.20.59 (192.168.20.59)' can't be established.
2. RSA key fingerprint is 6a:37:c0:e1:09:a4:29:8d:68:d0:ca:21:20:94:be:18.
3. Are you sure you want to continue connecting (yes/no)? yes
4. Warning: Permanently added '192.168.20.59' (RSA) to the list of known hosts.
5. [email protected]'s password:
6. Permission denied, please try again.
7. [email protected]'s password:
8. Permission denied, please try again.
9. [email protected]'s password:
10. Permission denied (publickey,gssapi-with-mic,password).<textarea class="java" style="display: none;" name="code">The authenticity of host '192.168.20.59 (192.168.20.59)' can't be established.
11. RSA key fingerprint is 6a:37:c0:e1:09:a4:29:8d:68:d0:ca:21:20:94:be:18.
12. Are you sure you want to continue connecting (yes/no)? yes
13. Warning: Permanently added '192.168.20.59' (RSA) to the list of known hosts.
14. [email protected]'s password:
15. Permission denied, please try again.
16. [email protected]'s password:
17. Permission denied, please try again.
18. [email protected]'s password:
19. Permission denied (publickey,gssapi-with-mic,password).
20. </textarea>

三、總結注意事項

1、文件和目錄的權限千萬別設置成chmod 777.這個權限太大了，不安全，數字簽名也不支持。我開始圖省事就這麼干了

2、生成的rsa/dsa簽名的公鑰是給對方機器使用的。這個公鑰內容還要拷貝到authorized_keys

(注意，如果是三台以上的linux機器如hostname h1,h2,h3 ,每台上的用戶名為hadoop,則把所有機器上的

/home/hadoop/.ssh/id_dsa.pub 用 scp copy到一台機器中的一個目錄下，都寫入到/home/hadoop/.ssh/authorized_keys 中，使它成為一個包含所有公鑰的大文件，再把這個文件公別copy到每一台linux下的/home/hadoop/.ssh /authorized_keys 下，再修改權限為600 )

3、linux之間的訪問直接 ssh 機器ip

4、某個機器生成自己的RSA或者DSA的數字簽名，將公鑰給目標機器，然後目標機器接收後設定相關權限（公鑰和authorized_keys權限），這個目標機就能被生成數字簽名的機器無密碼訪問了

---------------------

linux建立信任,已添加到authorized_keys，就是不成功;權限問題

Linux主機間建立信任關系
在主機A和主機B間建立信任關系，使主機A可以無密碼ssh登陸主機B.

1. A主機上執行 ssh-keygen -t rsa -b 1024 (也可以使用 ssh-keygen -t dsa -b 1024)
2. 主目錄下生成 .ssh目錄
3. 進入~/.ssh目錄
4. 執行 cat id_rsa.pub 將顯示結果復制 (也可以使用cat id_dsa.pub，這個一般有現成的)
5. B主機上進入主目錄下的~/.ssh（如果沒有，則執行ssh-keygen生成）
6. 將復制的結果粘貼到B主機.ssh目錄下的authorized_keys文件的最後一行
7. ok，信任關系建立了，在主機A上執行 ssh user@B 第一次執行，會提示一個確認,選擇yes回車,結果不用輸入密碼，登錄成功！

其中有三點需要注意的地方，如果已經按照以上方法做了，還是不可以，那就比照下邊三條對比一下：

1. authorized_keys 文件必須是600權限(也就是-rw——-)或者644
2. .ssh目錄必須是700權限(也就是drwx——)
3. /home/work目錄 必須是 755權限 即drwxr-xr-x

第（3）條太坑了，就因為 /home/user 目錄是777，不是755，怎麼都不行，信任關系建不起來，最後把/home/user目錄的權限由777改成755就立搞定了。。。>_<，好大的坑啊。。。