shell腳本實現無密碼交互的SSH自動登陸

原創

user_friendly

2020-02-24 07:08

http://blog.163.com/lgh_2002/blog/static/44017526201011305858559/

ssh連接遠程主機時候詢問密碼，跟su、sudo命令的默認行爲一樣，是不從stdin讀入數據的，據稱是爲安全考慮，但是有時候在腳本當中確實需要無人守值的登陸。

搜索一下不難找到類似的例子，使用expect來完成密碼應答：

#!/bin/bash
auto_login_ssh () {
    expect -c "set timeout -1;
                spawn -noecho ssh -o StrictHostKeyChecking=no $2 ${@:3};
                expect *assword:*;
                send -- $1\r;
                interact;";
}
 
auto_login_ssh passwd user@host

StrictHostKeyChecking=no參數讓ssh默認添加新主機的公鑰指紋，也就不會出現出現是否繼續yes/no的提示了。

expect很不錯，上述代碼基本可以達到要求了，能夠當翻牆用的ssh -D自動登陸，執行遠程命令等等，但是如果作爲一個完全非交互的遠程工具，應該說還一差，不能返回整個連接執行過程是否成功。

使用expect後，程序的exit status是expect的，而不是ssh的，所以如果遇上連接不到的主機、密碼錯誤等情況，expect也一樣是正常退出，$?爲0，所以需要對expect的代碼稍加修改；

#!/bin/bash
auto_smart_ssh () {
    expect -c "set timeout -1;
                spawn ssh -o StrictHostKeyChecking=no $2 ${@:3};
                expect {
                    *assword:* {send -- $1\r;
                                 expect {
                                    *denied* {exit 2;}
                                    eof
                                 }
                    }
                    eof         {exit 1;}
                }
                "
    return $?
}
 
auto_smart_ssh passwd user@host ls /var
echo -e "\n---Exit Status: $?"

這段expect的Tcl代碼主要作用是，如果在輸入密碼後遇到Permission denied，肯定是腳本提供的帳號有問題，就直接讓expect按狀態2退出；而如果主機不可達No route to host, timed out, Connection refused等情況，ssh會直接退出，expect收到eof，讓其按狀態1退出。而因爲這個設計本來就用於執行遠程命令後退出，不需要用戶交互，所以第9行的eof則是讓expect等待ssh退出，而不是不是進行interact了。

有這樣的處理，使用autosmartssh的腳本就可以根據返回值判斷執行過程的是否成功，而進行相應處理了。

openssh裏面另外一個很好用的遠程文件傳輸工具scp，也以如法炮製：

auto_scp () {
    expect -c "set timeout -1;
                spawn scp -o StrictHostKeyChecking=no ${@:2};
                expect {
                    *assword:* {send -- $1\r;
                                 expect {
                                    *denied* {exit 1;}
                                    eof
                                 }
                    }
                    eof         {exit 1;}
                }
                "
    return $?
}
 
auto_scp pass ~/myfile user@host:~/path/to/myfile
echo $?

後話：

如果僅僅是日常使用，爲了避免經常輸入主機密碼的麻煩，最理想的方法是生產本機的公/私密鑰對，把指紋直接複製到遠程主機上，較新的openssh提供了ssh-copy-id工具：

ssh-keygen
ssh-copy-id user@host1
ssh-copy-id user@host2
ssh-copy-id user@host3

運行ssh-keygen時會問幾個問題，全部回車默認就是我們要的效果了，分別把密鑰分發到遠程主機後，以後執行ssh user@host，還是scp，都是直接完成了。

如果需要刪除遠程機器上對應本機本賬戶的密鑰，登陸到該賬戶，打開~/.ssh/authorized_keys文件，搜索你的用戶名，刪除那行，保存，即可。

當然也可以自動化：

auto_ssh_copy_id () {
    expect -c "set timeout -1;
                spawn ssh-copy-id $2;
                expect {
                    *(yes/no)* {send -- yes\r;exp_continue;}
                    *assword:* {send -- $1\r;exp_continue;}
                    eof        {exit 0;}
                }";
}

發表評論

所有評論

還沒有人評論，想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.

shell腳本實現無密碼交互的SSH自動登陸

Iptables作網關時一種簡單的NAT使用方式

KVM I/O slowness on RHEL 6

解決ssh登錄等待時間長的問題

關閉SElinux和iptables的方法

深入理解OpenStack -- metadata

https://yachay.unat.edu.pe/blog/index.php?comment_area=format_blog&comment_component=blog&comment_co

linux以太網驅動總結