批量配置SSH互信脚本

Ps: 关于SSH密钥验证

.ssh下一般来说有4个文件id_rsa,id_rsa.pub,authorized_keys,known_hosts

其作用分别为：

• 私钥，ssh-keygen生成的私钥，与公钥成对
• 公钥，ssh-keygen生成的共钥，与私钥成对
• authorized_keys，存储已有的公钥，每当有客户端来访问服务器，服务器都会在此文件中找到对应客户端user的的公钥，与其出示的私钥进行验证，如果成功那么允许那个用户登录。
• known_hosts，每次新访问一个服务器，都会把这个新服务器发来公钥记入此文件（建立SSH连接前server会把公钥发给客户端）,其作用是在二次访问此server时证明此server不是什么伪造的server而是你以前访问过的那个server（如果server IP变动或者重装了ssh，公钥是会变的）。

为了实现互信访问authorized_keys和known_hosts都要匹配好，其中authorized_keys用于用户验证，而known_hosts用于服务器验证。

因此为了能够实现两服务器之间的互信，可以在一个服务器上生成一个公私钥对儿，然后将公钥存到authorized_keys中，之后将.ssh文件夹拷贝到另一服务器，最后使用ssh互访一次即可（为了更新knowhosts）。

在大规模自动化部署时我们常常需要配置好服务器的SSH互信，以便自动化脚本可以免密登录远程服务器，常规的手动配置SSH互信步骤如下：

• 使用ssh-keygen生成本地ssh key(mha01)，生成的文件如下：

　　  

• cp .ssh/id_rsa.pub .ssh/authorized_keys
• 将.ssh内容全部拷贝至远程服务器mha02，在正式拷贝之前会把远程服务器加到.ssh/known_hosts文件中然后再拷贝。

每次向新服务器拷贝都会更新.ssh/known_hosts，全部拷贝完毕后在mha1上就可以免密登录所有服务器了。

 

根据以上思想编写的批量配置脚本为：

#!/usr/bin/expect
#此脚本需配合ip.list文件使用，ip.list文件存储所有服务器IP，包含本地服务器。
#此脚本需要和ip.list一起放置在用户~/目录下才能执行。
set passwd xxx --设置服务器密码变量，需要所有服务器上要配置ssh互信的用户的密码全部一致。
spawn ssh-keygen
expect {
		"id_rsa" {send "\r";exp_continue}
		"Overwrite" {send "y\r";exp_continue}
		"phrase" {send "\r";exp_continue}
		"again" {send "\r";exp_continue}
		}
#需要注意的是路径不能以~开头，因此要么写成绝对路径要么写成相对路径，绝对不能用~/来表示家目录。但是如果是$ip:~/却可以，奇坑无比。
spawn cp .ssh/id_rsa.pub .ssh/authorized_keys --这可也可以写成spawn cp /root/.ssh/id_rsa.pub /root/.ssh/authorized_keys
set hosts [open ip.list r]
while { [gets $hosts ip]>=0} {
	spawn scp -r .ssh/ $ip:~/  --这里也可以写成spawn scp -r /root/.ssh/ $ip:/root/
	expect {
		"yes/no" {send "yes\r";exp_continue}
	        "password:" {send "$passwd\r";exp_continue}
       		}
}
close $hosts

假设有mha01-mha99 99台服务器，那么配置完毕后mha01可以免密登录其他98台服务器，但是mha02只能免密登录mha01和mha02，mha03只能免密登录前3台服务器，以此类推mha99和mha01一样可以免密登陆全部服务器,如果想要01-99之间的服务器也能像01和99一样，可以把脚本的第二部分再次执行一遍，这样相当于把包含全部hosts的known_hosts文件的.ssh目录传输到所有服务器节点。

补充说明:

ssh还有一个名为ssh-copy-id的命令，也可以使用此命令实现key的拷贝，使用此命令无需以上繁琐的判断，这里懒的进行修改了，只提一下待有需要再说。