ssh 批量免密登陆

SSH第一次连接远程主机

公钥交换原理

1.客户端发起链接请求
2.服务端返回自己的公钥，以及一个会话ID（这一步客户端得到服务端公钥）
3.客户端生成密钥对
4.客户端用自己的公钥异或会话ID，计算出一个值Res，并用服务端的公钥加密
5.客户端发送加密后的值到服务端，服务端用私钥解密，得到Res
6.服务端用解密后的值Res异或会话ID，计算出客户端的公钥（这一步服务端得到客户端公钥）
最终：双方各自持有三个秘钥，分别为自己的一对公、私钥，以及对方的公钥，之后的所有通讯都会被加密

首次登录提示信息

如果是第一次向远程主机发起SSH连接，系统会提示不能确认主机真实性，但知道它通过ECDSA算法加密的公钥指纹，是否继续连接。

在/etc/ssh目录下有几种密钥，这些文件在安装openssh-server后生成，SSH服务就是使用这些密钥与客户端进行加密通信。

可在服务端查看sha256及md5生成的指纹，与第一次ssh登陆返回的对比是否一致。

[root@myhost4 ~]# ssh-keygen -E sha256 -lf /etc/ssh/ssh_host_ecdsa_key.pub
256 SHA256:ztpC4229m/nFRSOh6xDrqr+31xWrhXshHe652aGDmW8 no comment (ECDSA)

[root@myhost4 ~]# ssh-keygen -E md5 -lf /etc/ssh/ssh_host_ecdsa_key.pub
256 MD5:60:74:30:1b:da:e1:0b:a7:8b:da:c9:0a:a0:30:b4:af no comment (ECDSA)

禁止首次连接询问

若确认远程主机可信。要禁止第一次ssh提示确认，可使用以下两种方法：

修改ssh客户端配置文件：/etc/ssh/ssh_config

sed -i.bak '/StrictHostKeyChecking/s/.*/StrictHostKeyChecking no/' /etc/ssh/ssh_config

ssh时使用-o选项

　　-o StrictHostKeyChecking=no

SSH登录方式

基于用户名密码

1. 客户端发起ssh请求，服务器把自己的公钥发送给客户端
2. 客户端根据服务器发来的公钥对密码进行加密
3. 加密后的信息回传给服务器，服务器用自己的私钥解密，如果密码正确，则用户登录成功

基于公匙

1. 首先在客户端生成一对密钥（ssh-keygen）
2. 将客户端的公钥ssh-copy-id 拷贝到服务端
3. 客户端发送一个连接请求
4. 服务端得到客户端的请求后，会到authorized_keys中查找，如果有响应的IP和用户，就会随机生成一个字符串
5. 服务端将此字符串使用客户端的公钥进行加密，然后发送给客户端
6. 得到服务端发来的消息后，客户端使用私钥进行解密，然后将解密后的字符串发送给服务端
7. 服务端接受到客户端发来的字符串后，跟之前的字符串进行对比，如果一致，就允许免密码登录

基于密钥的登录方式实现

在客户端后成密钥对：ssh-keygen  [-t rsa]  [-P 'password']  [-f “~/.ssh/id_rsa"]

使用默认方式，回车后会在当前用户家目录生成.ssh文件夹

ssh-keygen 

将公钥文件传输至远程服务器对应用户的家目录
ssh-copy-id   [-i [identity_file]]   [user@]host

ssh-copy-id 10.0.0.4

私钥加密

ssh-keygen –p

批量免密登陆

expect

　　expect 是由Don Libes基于 Tcl（Tool Command Language）语言开发的，主要应用于自动化交互式操作的场景，借助 expect 处理交互的命令，可以将交互过程如：ssh登录，ftp登录等写在一个脚本上，使之自动化完成。尤其适用于需要对多台服务器执行相同操作的环境中，可以大大提高系统管理人员的工作效率。

　　默认expect是交互地执行的。

　　首行shebang机制为    #!/usr/bin/expect

expect中相关命令

　　spawn 启动新的进程
　　expect 通常是用来等待一个进程的反馈，与send相反。expect可以接收一个字符串参数，也可以接收正则表达式参数
　　send  接收一个字符串参数，并将该参数发送到进程
　　interact 允许用户交互
　　exp_continue 执行多个命令

expect语法：与标准输入输出进行交互

单一分支模式语法：

expect “hello” {send “is hello\n"}           匹配到hello后，会输出“is hello”，并换行

多分支模式语法:

expect "hello" {send "is hello\n"} "hehe" {send "is hehe\n"} "haha" {send "is haha\n"}        匹配hehe、hello、haha中任意一个时，执行相应输出。等同如下:　　　

　　　　expect {
　　　　"hello" { send "is hello\n"}
　　　　"hehe" { send "is hehe\n"}
　　　　"haha" { send "is haha\n"}
　　　　}

spawn：与进程进行交互

　　spawn后的send和expect命令都是和spawn打开的进程进行交互。

interact：用户交互

　　expect如果只交互一次如拷贝文件，结尾就使用expect eof
　　如果需要连续交互如登录远程主机执行各种命令结尾就需使用interact

示例

#!/usr/bin/expect
spawn ssh 10.0.0.79
    expect {
        "yes/no" { send "yes\n";exp_continue }
        "password" { send "mima\n" }
    }
interact   

#!/usr/bin/expect
spawn scp /etc/hosts 10.0.0.79:/tmp
expect {
　　"yes/no" { send "yes\n";exp_continue }
　　"password" { send "mima\n" }
}
expect eof 

expect实现：shell脚本调用expect

#!/bin/bash
user=sshuser
passwd=sshuser
port=1022
IPLIST="10.0.0.3 10.0.0.4"

rpm -q expect &> /dev/null || yum -y install expect &> /dev/null

#生产环境中基本都禁用root登陆
#所有主机上新建登陆帐号,如sshuser，家目录/home/sshuser
#若需要生成其它用户的key，切换到该用户后执行
#su - sshuser

[ -e ~/.ssh/id_rsa ] && echo -e  '\033[1;31m ssh key exists\033[0m' || { ssh-keygen -t rsa -P '' -f ~/.ssh/id_rsa &>/dev/null && echo -e  '\033[1;32m ssh key create\033[0m'; }

for ip in $IPLIST;do
expect <<EOF
        #若使用非root,修改对应用户家目录
        #spawn ssh-copy-id -i /home/sshuser/.ssh/id_rsa.pub -p $port $user@$ip
        spawn ssh-copy-id -i /root/.ssh/id_rsa.pub -p $port $user@$ip
        expect {
                "yes/no" { send "yes\n";exp_continue }
                "password" { send "$passwd\n" }
                }
        expect eof
EOF
echo "$ip is ok"
done