一、背景：

 平安银行项目，EZSonar产品总共部署4台服务器，1台探针服务器、3台管理引擎服务器（ES集群）。平安银行客户有要求，应用程序只能使用普通用户启动，同时在部署完交付给客户时，客户需要把服务器交给另外部门统一管理。每次需要登录时，都需要向服务器管理组申请登录权限，然后通过指定的堡垒机免密码登录到EZS对应的服务器对应用户的权限，同时客户一般情况下是不允许申请root用户权限的。在此情况下，如果我们在排查问题急需root用户时就无法操作了，针对该问题对接口的经理建议我们在内部服务器做个互信，因此就产生该设置想法。 目的：不同机器之间实现普通用户之间的免密登陆，例如Probe的root用户权限直接登录到ES1的root用户权限或者ES1的es01用户权限。 

二、原理：

 Probe服务器作为客户端，要实现无密码公钥认证，连接到服务器ES1、ES2、ES3上时，需要在Probe服务器上生成一个密钥对，包括一个公钥和一个私钥，然后将公钥复制到服务器ES1、ES2、ES3上。当Probe通过SSH链接到ES1（ES2、ES3）服务器上时，ES1会生成一个随机数并用Probe服务器的公钥对随机数进行加密，并发送给Probe服务器。Probe服务器收到加密数之后再用私钥解密，并将解密数回传给ES1（ES2、ES3）服务器，ES1（ES2、ES3）服务器确认解密数无误之后就允许Probe服务器进行连接了。这就是一个公钥认证过程。 要实现内部服务器SSH免密码登录的原理简单来说，在各自服务器存放了目标主机的公钥证书，当执行登陆时，自动完成认证，从而不需要再输入任何密码。 

三、配置步骤：

以Probe和ES1两台服务器为例

1、root用户

（1）、以root用户登录Probe服务器，生成RSA公钥

输入ssh-keygen -t rsa，然后用默认配置，一直按Enter键；

ssh-keygen

（2）、进入生成密钥所在的文件目录

cd /root/.ssh/

（3）将公钥（名为id_rsa.pub文件）追加到认证文件（名为authorized_keys文件）

cat id_rsa.pub >> ~/.ssh/authorized_keys

（4）设置ssh的权限 chmod -R 700 /root/.ssh

（5）同理在ES1服务器进行步骤（1）（3），生产RSA公钥和追加到认证文件

（6）把ES1的认证文件拷贝到Probe服务器，并追加到Probe服务器的authorized_keys

（7）把最后拥有所有用户的公钥拷贝到对应的服务器替换原有的authorized_keys

例子，如下图：

2、非root用户（ezsonar用户）

非root用户与root的用户操作一样，唯一不一样的地方就是存放公钥的目录在/home/$user/.ssh/（以ezsonar为例：/home/ezsonar/.ssh）

3、把最后一份authorized_keys（含所有服务器的root用户和非root用户）拷贝到对应服务器的.ssh目录下（root用户：/root/.ssh，非root用户：/home/$user/.ssh），这样就可以达到互信作用，内部服务器ssh和scp都不需要密码。