SSH公钥分发运维实战

SSH原理

在SSH安全协议的原理中， 是一种非对称加密与对称加密算法的结合。

ssh登录有2种方法：账号密码登录和公钥登录。

1.帐号密码登录,没办法公证，不像https有CA证书公证。

1.服务端收到登录请求后，首先互换公钥。

2.客户端用服务端的公钥加密账号密码并发送

3.服务端用自己的秘钥解密后得到账号密码，然后进行验证

4.服务端用客户端的公钥加密验证结果并返回

5.客户端用自己的秘钥解密后得到验证结果

2.ssh免密码登录，利用公钥登录

步骤：

1.客户端用户必须手动地将自己的公钥添加到服务器一个名叫authorized_keys的文件里，顾名思义，这个文件保存了所有可以远程登录的机器的公钥。

2.客户端发起登录请求，并且发送一个自己公钥的指纹（具有唯一性，但不是公钥）

3.服务端根据指纹检测此公钥是否保存在authorized_keys中

4.若存在，服务端便生成一段随机字符串，然后利用客户端公钥加密并返回

5.客户端收到后用自己的私钥解密，再利用服务端公钥加密后发回

6.服务端收到后用自己的私钥解密，如果为同一字符串，则验证通过

分发密钥方法：

1.使用ssh分发

[root@Management-Machine-140 ~]# ssh-keygen -t dsa -P '指定密码' -f ~/.ssh/id_dsa >/dev/null 2>&1

[root@Management-Machine-140 ~]# /usr/bin/ssh-copy-id -i .ssh/id_dsa.pub user@IP

测试

Last login: Wed Nov 7 14:29:38 2018 from 192.168.146.140

[root@WebA-136 ~]#

注意：密钥是针对用户的，可以使用其他用户创建密钥，在被管理机器上也需要有相同的用户。

ssh-keygen命令

man ssh-keygen：authentication key generation, management and conversion 密钥生成、管理、转换

选项：

-t type：指定密钥类型，包括“dsa”, “ecdsa” or “rsa”

-p(小) ：更改私钥的密码。程序会提示输入私钥的密码以及2次新密码

-P(大)：提供私钥的旧密码。

-N：提供私钥的新密码

-f ：指定密钥文件的文件名

-b：指定密钥长度

-e：读取openssh的私钥或者公钥文件

ssh-copy-id命令：

语法：ssh-copy-id [-i [identity_file]] [user@]machine

选项：-i 指定要分发的公钥

2.使用expect解决交互式分发

expect脚本中常见命令：spawn, expect, send, interact...

spawn打开一个进程

expect该命令从进程接受字符串，如果接受的字符串和期待的字符串不匹配，则一直阻塞，直到匹配上或者等待超时才继续往下执行

send向进程发送字符串，与手动输入内容等效，通常字符串需要以’\r’结尾

expect{"匹配字符" send {"需要发送的"}

"匹配字符"send{"需要发送的字符"}}

或者

expect "匹配字符"

send "发送字符\r"

interact该命令将控制权交给控制台，之后就可以进行人工操作了。通常用于使用脚本进行自动化登录之后再手动执行某些命令。如果脚本中没有这一条语句，脚本执行完将自动退出。

set timeout 30 设置超时时间timeout为30s，expect命令阻塞超时时会自动往下继续执行。将timeout配置为-1时表示expect一直阻塞直到与期待的字符串匹配上才继续往下执行。超时时间timeout默认为10s

[lindex $argv n]可以在脚本中使用该命令获取在脚本执行时传入的第n-1个参数。argv为传入的参数，另外argc表示传入参数的个数，n是从0开始，表示第一个参数..n=1表示第二个参数

exp_continue：继续执行下面匹配

\r：linux下的回车，Windows下回车是\r\n

安装

[root@Management-Machine-140 ~]# yum install expect #安装expect ,需要安装依赖包tcl

独立expect脚本

[root@Management-Machine-140 ~]# cat /server/script/ssh_expect.exp

#!/usr/bin/expect

set timeout 30

set ip [lindex $argv 0] #第1个参数，编号是0

set password [lindex $argv 1] #第2个参数，编号是1

spawn ssh-copy-id -i /root/.ssh/id_dsa.pub root@$ip

expect {

"(yes/no)?"

"password:"

}

expect eof

[root@Management-Machine-140 ~]# expect /server/script/ssh_expect.exp 192.168.146.136 111111 #192是第1个参数，编号是0 111111是第2个参数，编号是1*****

.ssh/authorized_keys

to make sure we haven't added extra keys that you weren't expecting.

Last login: Wed Nov 7 16:46:46 2018 from 192.168.146.140

[root@WebA-136 ~]# logout

Connection to 192.168.146.136 closed.

[root@Management-Machine-140 ~]#

实现自动分发，无需手动输入ip及密码，将expect程序嵌套在shell脚本

[root@Management-Machine-140 ~]# cat /server/script/Auto-fenfa.exp

#!/bin/bash

#Functions Auto fenfa miyao

#Version 1.1

key_file='/root/.ssh/id_dsa.pub'

password='Y3^K2&123&'

[ ! -e $key_file ] && ssh-keygen -t dsa -P '' -f /root/.ssh/id_dsa > /dev/null 2>&1

for ip in

do

/usr/bin/expect /dev/null 2>&1

expect {

"yes/no"

"password"

}

expect eof

EOF

if [ $? -eq 0 ]

then

echo "192.168.146.$ip 密钥分发完成"

else

echo "192.168.146.$ip 密钥分发失败"

fi

done

[root@Management-Machine-140 ~]# sh /server/script/Auto-fenfa.exp

192.168.146.136 密钥分发完成

192.168.146.137 密钥分发完成

192.168.146.138 密钥分发完成

192.168.146.139 密钥分发完成

创建密钥、分发密钥、批量上传脚本、批量执行脚本

[root@Management-Machine-140 script]# cat Q-auto-bushu.sh

#!/bin/bash

#########################1.创建密钥##################

. /etc/init.d/functions

[ ! -e "/root/.ssh/id_dsa.pub" ] && ssh-keygen -t dsa -P '' -f /root/.ssh/id_dsa >/dev/null 2>&1

if [ $? -eq 0 ];then

action "创建密钥成功" /bin/true

else

action "创建密钥失败" /bin/false

exit 0

fi

######################2.分发密钥####################

for ip in 192.168.146.

do

/usr/bin/expect /dev/null 2>&1

spawn ssh-copy-id -i /root/.ssh/id_dsa.pub "-p22 $ip"

expect {

"yes/no"

"password"

}

expect eof

EOF

if [ $? -eq 0 ];then

action "$ip分发密钥完成" /bin/true

else

action "$ip分发密钥失败" /bin/false

fi

done

#######################3.发送安装脚本###############

for i in 192.168.146.

do

scp /server/script/install_man.sh root@$i:/server/script/

if [ $? -eq 0 ];then

action "$i发送安装脚本成功" /bin/true

else

action "$i发送安装脚本失败" /bin/false

fi

done

######################4.远程安装脚本################

for n in 192.168.146.

do

ssh root@$n /bin/bash /server/script/install_man.sh

if [ $? -eq 0 ];then

action "$n安装man完成" /bin/true

else

action "$n安装man失败" /bin/false

fi

done

[root@Management-Machine-140 script]#

测试结果

[root@Management-Machine-140 script]# sh Q-auto-bushu.sh

创建密钥成功 [ OK ]

192.168.146.136分发密钥完成 [ OK ]

192.168.146.137分发密钥完成 [ OK ]

192.168.146.138分发密钥完成 [ OK ]

192.168.146.139分发密钥完成 [ OK ]

192.168.146.136发送安装脚本成功 [ OK ]

192.168.146.137发送安装脚本成功 [ OK ]

192.168.146.138发送安装脚本成功 [ OK ]

192.168.146.139发送安装脚本成功 [ OK ]

192.168.146.136安装man完成 [ OK ]

192.168.146.137安装man完成 [ OK ]

192.168.146.138安装man完成 [ OK ]

192.168.146.139安装man完成 [ OK ]

[root@Management-Machine-140 script]#

[root@WebA-136 ~]# which man

/usr/bin/man

干货分享