当前位置:  操作系统/服务器>linux

Linux下实现SSH免密码登录和实现秘钥的管理、分发、部署SHELL脚本分享

    来源: 互联网  发布时间:2014-10-18

    本文导语:  环境: ssh server: 192.168.100.29  server.example.com ssh client: 192.168.100.30  client.example.com 通过root用户建立秘钥认证实现SHELL脚本管理,分发,部署 首先client端创建秘钥对,并将公钥分发给需要登录的SSH服务端 注:公钥相当于锁,私钥...

环境:

ssh server: 192.168.100.29  server.example.com
ssh client: 192.168.100.30  client.example.com

通过root用户建立秘钥认证实现SHELL脚本管理,分发,部署

首先client端创建秘钥对,并将公钥分发给需要登录的SSH服务端

注:公钥相当于锁,私钥相当于钥匙,我们这里相当于在客户端创建一对钥匙和锁,想要做到SSH免密码登录,就相当于我们将锁分发到服务端并装锁,然后客户端就可以利用钥匙开锁。

一.建立秘钥认证

1.在客户端创建秘钥对:(ssh client)

代码如下:
# su - root
# ssh-keygen -t dsa

一路回车即可
代码如下:

Generating public/private dsa key pair.
Enter file in which to save the key (/root/.ssh/id_dsa):
Created directory '/root/.ssh'.
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /root/.ssh/id_dsa.
Your public key has been saved in /root/.ssh/id_dsa.pub.
The key fingerprint is:
e9:5e:4a:7f:79:64:c5:ae:f2:06:a7:26:e4:41:5c:0e root@zabbix.example.com
The key's randomart image is:
+--[ DSA 1024]----+
|                 |
|          E .    |
|         . +   . |
|         .o .   o|
|        S.     o |
|       .  o . + .|
|        oo.. B . |
|       o +o * +  |
|        o .+ =.  |
+-----------------+

2.查看生成的秘钥对:(ssh client)
代码如下:

# ls -lda .ssh
-----------------
drwx------ 2 root root 4096 6月   6 23:03 .ssh
-----------------
# cd .ssh
# ls -la
------------------
总用量 16
drwx------   2 root root 4096 6月   6 23:03 .
dr-xr-x---. 26 root root 4096 6月   6 23:03 ..
-rw-------   1 root root  668 6月   6 23:03 id_dsa
-rw-r--r--   1 root root  613 6月   6 23:03 id_dsa.pub
------------------

秘钥生成完毕

3.将公钥(锁)分发到SSH服务端:(ssh client)

代码如下:

# ssh-copy-id -i .ssh/id_dsa.pub 192.168.100.29

注:若非root用户,以及自定义SSH端口,则格式为:
代码如下:
# ssh-copy-id -i .ssh/id_rsa.pub "-p 22 user@server"

输入yes,然后密码后回车:
代码如下:

The authenticity of host '192.168.100.30 (192.168.100.30)' can't be established.
RSA key fingerprint is fc:9b:2e:38:3b:04:18:67:16:8f:dd:94:a8:bd:08:03.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '192.168.100.30' (RSA) to the list of known hosts.
Address 192.168.100.30 maps to bogon, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!
root@192.168.100.30's password:
Now try logging into the machine, with "ssh '192.168.100.30'", and check in:
 .ssh/authorized_keys
to make sure we haven't added extra keys that you weren't expecting.

公钥分发完毕

4.服务端查看收到的分发文件:(ssh server)

代码如下:

# ll /root/.ssh
-------------
总用量 4
-rw------- 1 root root 613 6月   6 23:29 authorized_keys
-------------

成功收到

5.客户端验证登陆:(ssh client)
查看服务端IP地址:

代码如下:

# ssh 192.168.100.29 /sbin/ifconfig eth0
-----------------------
Address 192.168.100.29 maps to bogon, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!
eth0      Link encap:Ethernet  HWaddr 00:0C:29:7A:4F:30 
         inet addr:192.168.100.29  Bcast:192.168.100.255  Mask:255.255.255.0
         inet6 addr: fe80::20c:29ff:fe7a:4f30/64 Scope:Link
         UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
         RX packets:184297 errors:0 dropped:0 overruns:0 frame:0
         TX packets:162028 errors:0 dropped:0 overruns:0 carrier:0
         collisions:0 txqueuelen:1000
         RX bytes:163599380 (156.0 MiB)  TX bytes:51284830 (48.9 MiB)
         Interrupt:19 Base address:0x2000

注:这里遇到警告提示“Address 192.168.100.29 maps to bogon, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!”。
解决办法为修改客户端/etc/hosts文件,将服务端的ip地址与主机名对应关系写进去就可以了。
代码如下:

(ssh client)
# echo "192.168.100.29  server.example.com" >> /etc/hosts

重新查看
代码如下:

# ssh 192.168.100.29 /sbin/ifconfig eth0

无错误提示:
代码如下:

--------------------------
eth0      Link encap:Ethernet  HWaddr 00:0C:29:7A:4F:30 
         inet addr:192.168.100.29  Bcast:192.168.100.255  Mask:255.255.255.0
         inet6 addr: fe80::20c:29ff:fe7a:4f30/64 Scope:Link
         UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
         RX packets:184530 errors:0 dropped:0 overruns:0 frame:0
         TX packets:162264 errors:0 dropped:0 overruns:0 carrier:0
         collisions:0 txqueuelen:1000
         RX bytes:163618650 (156.0 MiB)  TX bytes:51304877 (48.9 MiB)
         Interrupt:19 Base address:0x2000
---------------------------

查看服务端内存
代码如下:

# ssh 192.168.100.29 free -m
--------------------------
            total       used       free     shared    buffers     cached
Mem:          1006        991         14          0        177        308
-/+ buffers/cache:        506        500
Swap:         1023          6       1017
---------------------------

二.创建SHELL脚本实现批量管理:(ssh client)
1.创建脚本:
代码如下:

# cd /etc/rc.d
# vi manager.sh
------------------
for ip in `cat iplist`
do
  echo "---$ip---"
  ssh $ip $1
done
------------------

2.生成IP列表:(若有多台SSH服务端需要管理,这里以此类推即可)
代码如下:

# echo 192.168.100.29 >> iplist
# echo 192.168.100.28 >> iplist
。。。。。
# cat iplist
---------------
192.168.100.29
---------------

3.执行脚本:
代码如下:

# sh manager.sh "df -h"
----------------
---192.168.100.29---
文件系统              容量  已用  可用 已用%% 挂载点
/dev/sda3              19G  6.7G   11G  38% /
tmpfs                 504M     0  504M   0% /dev/shm
/dev/sda1             194M   27M  158M  15% /boot
----------------

管理成功

三.创建SHELL脚本实现批量分发:(ssh client)

1.创建脚本:

代码如下:

# cd /etc/rc.d
# vi distribute.sh
------------------
for ip in `cat iplist`
do
  echo "---$ip---"
  scp -r -p $1 $ip:$2
done
------------------

脚本IP列表已创建
执行脚本:
将本地/root下文件分发到SSH服务端主机
代码如下:

# sh distribute.sh /root /tmp
------------------
---192.168.100.29---
.ICEauthority                                 100%  620     0.6KB/s   00:00   
install.log.syslog                            100%   10KB  10.2KB/s   00:00   
preferred-web-browser.desktop                 100% 2378     2.3KB/s   00:00   
preferred-mail-reader.desktop                 100%  257     0.3KB/s   00:00   
.converted-launchers                          100%    0     0.0KB/s   00:00   
.bash_history                                 100% 3200     3.1KB/s   00:00   
.bash_logout                                  100%   18     0.0KB/s   00:00   
applet_dirlist                                100%    0     0.0KB/s   00:00   
saved_state                                   100%   65KB  64.5KB/s   00:00   
8f329b0c645a51e018b765fa0000001a-0            100%  463     0.5KB/s   00:00   
............
------------------

分发成功

四.批量部署:

这里的部署就结合了SHELL脚本批量管理和分发两个功能。
比如你要部署N台SSH服务端批量安装APACHE。

1.写好APACHE安装脚本。
2.将安装脚本分发到SSH服务端。
3.利用SHELL管理远端执行该脚本即可。
这里就不做过多演示,有机会我整理下我的LAMP文档,写个APACHE脚本,在这里演示下。
注:因为涉及风险操作。所以不推荐线上利用root用户进行批量管理操作。
建议设置普通账户,再利用sudo提权操作。

通过普通用户建立秘钥认证并sudo提权进行管理,分发,部署

代码如下:

(ssh server)
# useradd user02
# echo "123456" | passwd --stdin user02
(ssh client)
# useradd user01
# echo "123456" | passwd --stdin user01
# su - user01
# ssh-keygen -t dsa

注:默认三个回车完成创建
代码如下:

# ssh-copy-id -i .ssh/id_dsa.pub user02@192.168.100.29

输入密码123456,分发完毕
验证:
代码如下:

# ssh user02@192.168.100.29 /sbin/ifconfig eth0

返回192.168.100.29端IP即表明秘钥验证成功。
分发:
注:客户端user01用户现在可以免密码分发到服务端user02所属文件夹,但若想分发到root所属文件夹,则需要sudo提权。
1.服务端sudo提权:
代码如下:

# su - root
# echo "user02 ALL=(ALL) NOPASSWD:/usr/bin/rsync,/bin/tar,/usr/bin/scp,/bin/cp" >> /etc/sudoers

登录user02账户
代码如下:

# su - user02

查看账户信息:
代码如下:

# sodo -l
----------------
............
User user02 may run the following commands on this host:
   (ALL) NOPASSWD: /usr/bin/rsync, (ALL) /bin/tar, (ALL) /usr/bin/scp,(ALL) /bin/cp
----------------

2.客户端先分发到服务端user02用户家目录:
代码如下:

# scp -P22 -r -p /home/user01/ user02@192.168.100.29:/home/user02
-----------------------------
.bash_logout                                  100%   18     0.0KB/s   00:00   
.bashrc                                       100%  124     0.1KB/s   00:00   
known_hosts                                   100%  396     0.4KB/s   00:00   
id_dsa                                        100%  672     0.7KB/s   00:00   
id_dsa.pub                                    100%  615     0.6KB/s   00:00   
.bash_profile                                 100%  176     0.2KB/s   00:00 
-------------------------------

2.连接服务端后执行sudo cp命令执行本地拷贝:
代码如下:

# ssh -t user02@192.168.100.29 sudo cp /home/user02 /etc
-----------------------
Connection to 192.168.100.29 closed.
-----------------------

拷贝成功
注:
代码如下:

# cp /test1 /test2/

是将/test1目录拷贝到/test2/目录下
代码如下:

# cp /test1/ /test2/

是将/test1目录下的所有文件拷贝到/test2/目录下
-------大功告成--------

    
 
 

您可能感兴趣的文章:

  • linux下通过crond实现自动执行程序
  • Linux和Unix相对WIN、NETWARE有什么好处?他们之间有什么区别?WIN、NETWARE能实现的功能LINUX和UNIX能实现吗?
  • Linux下c函数dlopen实现加载动态库so文件代码举例
  • linux下如实现与window下的驱动器实现文件共享??
  • Linux内存文件系统(ramdisk)的三种实现方式
  • windows 下的PortTunnel 在linux下怎么实现?或者相应的已经实现的软件?端口映射
  • linux内存文件系统ramfs实现原理
  • 在linux下如何编程实现nslookup命令实现的IP地址和域名互相转换的功能?
  • Linux 共享内存介绍及实现代码
  • 我需要一个模型,在 LINUX C 下。实现线程间的控制,执行,阻塞,再执行。。。。。不知道如何实现。
  • linux下grep命令实现查找多个关键字(与关系和或关系)
  • 我想做linux下的还原备份,实现与还原精灵虚拟还原等一样的功能,应该怎么做?另外现在有实现这种功能的成熟产品是哪一种?
  • Linux下C语言strstr()查找子字符串位置函数详细介绍(strstr原型、实现及用法)
  • 关于linux c程序实现自动实现telnet的问题
  • Linux c socket编程:简单的客户端(client)和服务端(server)实现
  • 请问高手linux中用md5来实现一串字符串的加密,用c++/c实现
  • 在linux实现在任意给定的目录查找文需要的件的程序? 下面的实现思路可不可以呢????
  • 请问:有没有人在Linux下实现过计费网关?
  • 关于XP系统下批处理文件如何实现执行linux下脚本,从而实现版本的自动化编译
  • 如何在linux下实现event事件机制
  • Linux音频, Linux下能否实现 实时语音聊天 ?
  • 请问linux dhcpd 分发多网段地址错误
  • 【Linux】服务器间的文件分发问题
  •  
    本站(WWW.169IT.COM)旨在分享和传播互联网科技相关的资讯和技术,将尽最大努力为读者提供更好的信息聚合和浏览方式。
    本站(WWW.169IT.COM)站内文章除注明原创外,均为转载、整理或搜集自网络。欢迎任何形式的转载,转载请注明出处。












  • 相关文章推荐
  • 请问在 LINUX下如何编辑脚本(可以直接运行脚本访问WINDOW系统)
  • 如何传递参数给linux shell 脚本(当脚本从标准输入而不是从文件获取时)
  • 关于arm linux下的别名配置脚本如何在进入用户时让shell执行的问题,如bashrc,profile,.bash_profile等脚本,寻求高手解答
  • Linux下如何编写脚本文件
  • 关于linux的脚本运行。。。求高人指点
  • linux重新启动后自动运行脚本程序
  • 谁能简单介绍一下LINUX上的各种语言脚本的功能.
  • linux shell脚本
  • 请问关于linux脚本的一个问题。
  • LINUX的系统管理脚本
  • Linux脚本
  • linux脚本中命令运行结果判断
  • 求助:linux脚本语言写SQL语句
  • window下通过ftp执行linux脚本?
  • 如何在Linux下使用脚本实现程序的自动重启!望各位详解!
  • 求linux下定时重启服务的脚本
  • linux shell脚本无法改变环境变量
  • linux能够通过执行脚本添加oracle数据库的用户吗
  • 求助:Linux 脚本如何提取MAC地址
  • 请教斑竹,在linux下怎么执行位于其他机器上的脚本
  • linux c/c++ IP字符串转换成可比较大小的数字
  • 在win分区上安装linux和独立分区安装linux有什么区别?可以同时安装吗?(两个linux系统)
  • linux哪个版本好?linux操作系统版本详细介绍及选择方案推荐
  • 在虚拟机上安装的linux上,能像真的linux系统一样开发linux程序么?
  • secureCRT下Linux终端汉字乱码解决方法
  • 我重装window后,把linux的引导区覆盖了,进不了linux怎么办?急啊,望热心的人帮助 (现在有linux的盘)
  • Linux c字符串中不可打印字符转换成16进制
  • 安装vmware软件,不用再安装linux系统,就可以模拟linux系统了,然后可以在其上学习一下LINUX下的基本操作 了?
  • Linux常用命令介绍:更改所属用户群组或档案属性
  • 红旗Linux主机可以通过127.0.0.1访问,但如何是连网的Win2000机器通过Linux的IP去访问Linux
  • linux命令大全详细分类介绍及常用linux命令文档手册下载


  • 站内导航:


    特别声明:169IT网站部分信息来自互联网,如果侵犯您的权利,请及时告知,本站将立即删除!

    ©2012-2017,169IT.COM,E-mail:www_169it_com#163.com(请将#改为@)

    浙ICP备11055608号