主页 / unix / 问题 / 682719
Accepted
markfree
Asked: 2021-12-17 05:41:28 +0800 CST

自动SSH提示输入

  • 772

我正在尝试将一堆 RSA 密钥复制到特定用户的多个服务器。每当我发出ssh-copy-id命令时,它都会要求我输入“是”来确认,然后要求我输入密码。我想避免磨损我的手臂和手指,所以,我决定为这个任务创建一个脚本,如下所示:

#!/bin/bash
runuser -u $RMTUSER -- ssh-copy-id [email protected]
runuser -u $RMTUSER -- ssh-copy-id [email protected]
(...)
runuser -u $RMTUSER -- ssh-copy-id [email protected]
runuser -u $RMTUSER -- ssh-copy-id [email protected]

我似乎找不到自动化该任务的好方法。似乎没有任何效果。如何自动输入“是”和密码?

我意识到我最初的问题很乏味。对此我很抱歉……不过,它仍然在上面。

我已经将脚本改进为类似于 Marcus 提议的内容。我被困在“for”循环中,想知道如何为不同的服务器阵列传递该密码。

我的主机集都是静态的,还有更多。

#!/bin/bash

LOCUSER="$1"    # USER FOR REMOTE ACCESS
RMTUSER="$2"    # REMOTE USER
PASSWD="$3"     # SITE PASSWORD
SITE="$4"       # SERV SITE


function uras() {
        for IP in "$@"; do
                runuser -u "${LOCUSER}" -- sshpass "-p${PASSWD}" ssh-copy-id "${RMTUSER}@${IP}"
                [ "$?" -eq "0" ] && echo "OK - $IP" || echo "FAIL! - $IP"
        done
        }


case $SITE in
        "sa")
                ARRAY_A=( $(cat ./serv_a.txt) )
                uras "${ARRAY_A[@]}"
                ;;
        "sb")
                ARRAY_B=( $(cat ./serv_b.txt) )
                uras "${ARRAY_B[@]}"
                ;;
        "sc")
                ARRAY_C=( $(cat ./serv_c.txt) )
                uras "${ARRAY_C[@]}"
                ;;
        *)
                echo "INVALID SITE"
                ;;
esac

尽管如此,每个主机的脚本都失败了。

# ./auto_ssh_copy.sh [user] root [pass] [site]
/bin/ssh-copy-id: INFO: Source of key(s) to be installed: "/var/lib/zabbix/.ssh/id_rsa.pub"
FAIL! - 172.24.168.48
/bin/ssh-copy-id: INFO: Source of key(s) to be installed: "/var/lib/zabbix/.ssh/id_rsa.pub"
FAIL! - 172.24.168.49
/bin/ssh-copy-id: INFO: Source of key(s) to be installed: "/var/lib/zabbix/.ssh/id_rsa.pub"
FAIL! - 172.24.168.50
(...)

我也尝试使用“-f”,但结果是一样的。

我同意使用像 Ansible 这样强大的工具可能是完成这项工作的更好工具,但不幸的是,它目前在我的工作集中不可用。这是我到目前为止想出的。

最后,我设法复制了所有密钥。上面的脚本缺少 option -o StrictHostKeyChecking=no,因此sshpass返回退出代码 6。生成的命令是这样的:

runuser -u ${LOCUSER} -- sshpass -v -p${PASSWD} ssh-copy-id -o StrictHostKeyChecking=no ${RMTUSER}@${IP}

Marcus awnser 帮了大忙。谢谢大家。

ssh command

3 个回答

  1. Best Answer

    您可以使用to 选项禁用yes检查。-fssh-copy-id

    密码可能应该是该脚本的一部分,假设该脚本最终位于其他人可能读取的某个地方。相反,我建议编写这样的脚本:

    #!/bin/sh
# Usage: myscript user password

RMTUSER=$1
PASSWORD=$2
# just an example, but to highlight you can use brace expansions.
hosts=("172.24.168.47" "172.24.168.48" 172.24.168.{200..213})

for host in ${hosts[@]}; do
  runuser -u "${RMTUSER}" -- sshpass "-p${PASSWORD}" ssh-copy-id -f "root@${host}"
done
    • 3

  2. 您可以添加-f强制复制

    StrictHostKeyChecking no在文件中设置,~/.ssh/config因此 ssh-copy-id 不会检查密钥是否已存在于服务器上。

    但是,这些选项意味着如果您不小心,您可能最终会多次安装相同的密钥。

    • 0

  3. 对这类问题的诚实答案是“停止使用他们自己有趣的失败方式构建定制工具,使用其他人维护良好的健壮工具”。

    输入ansible。您会发现维护您管理的主机列表及其“逻辑组”(ansible 调用“库存”)以及这些主机需要发生的事情列表(ansible 调用“剧本”)会更好一致且耗时的管理。

    在您的情况下,您需要这样的库存文件(我们称之为~/servers.ini):

    [rootservers]
172.24.168.47
172.24.168.48
172.24.168.[200:213]

[rootservers:vars]
ansible_password=f00bar

    您还可以通过其他方式提供密码¹。

    和一个剧本(比如,~/playbook.yaml),比如:

    hosts: rootservers
  tasks:
  - name: Set authorized key took from file
    authorized_key:
      user: root
      state: present
      key: "{{ lookup('file', '/home/mark/.ssh/id_rsa.pub') }}"

    而已。您现在可以运行

    ansible-playbook -i ~/servers.ini ~/playbook.yaml

    要对组中的每个主机进行 ansible 检查,rootservers是否markrsa_id 已经在authorized_keys服务器上的文件中,如果没有,则将其添加到那里。

    但你通常想做更多;比如,完成之后,配置 SSHd 以禁止 root 密码登录(总是一个好主意,恕我直言),安装或更新一些软件包(“启用此第三方存储库并在 10.1 版中安装 CUDA 驱动程序”),设置一些监控软件,清理一些用户目录,复制一些文件等。

    对于所有这些任务,ansible 要么内置了简单的命令,例如authorized_key(or aptor copyor ...),要么有人为 ansible 编写了一个角色(例如“设置 Postfix 邮件服务器”),您可以使用它。

    就个人而言,我从来没有在任何服务器上手动安装任何软件包,添加任何本地用户或更改任何配置,因为我不记得我明天早上是否这样做了。优点是我不仅可以得到一份关于我对所述服务器所做的事情的书面声明,而且设置一个新服务器来替换或补充该服务器只是在正确组中的库存中添加一行。

    所以,我的工作流程通常是:

    1. 在物理机上安装 Linux / 启动虚拟机;通常,这甚至可以在添加授权密钥的情况下完成,只安装一个 SSH 服务器
    2. 如有必要,为 root 添加授权密钥
    3. 将该机器添加到适当组下的库存中
    4. 运行包含我想在那台机器上发生的事情的剧本

    ¹您实际上应该将密码存储在库存中,而是使用保险库,但为了说明,这可能就足够了。

    • 0

相关问题