170. 【Linux】ssh-keyscan-解决“离线环境”多节点互信任问题

最新推荐文章于 2025-09-29 09:58:54 发布
原创 最新推荐文章于 2025-09-29 09:58:54 发布 · 418 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #ssh #服务器

文章介绍了在没有外网的离线环境中,如何使用ssh-keygen和ssh-copy-id命令的原理来实现多台Linux服务器之间的互相信任,避免ssh登录和远程执行脚本时需要密码。此外,还提供了一个shell脚本来自动化处理公钥的传输和known_hosts文件的更新,以实现完全自动化的过程。

昨天写了篇 169. 《Linux 命令行与 shell 脚本编程大全》收官,只顾着自己开心了,今天写篇“离线环境”下基于ssh-keyscan的多个 Linux 服务器节点的互信任解决方案。

做 Linux 运维的同学基本都知道先使用ssh-keygen命令再使用ssh-copy-id命令可以实现两台服务器互相信任,ssh 登录将无需密码,ssh 远程执行脚本也将无需输入密码,省去人工交互的步骤(这步很重要,毕竟加上人工就不算完全的自动化,因为没解放人工劳动力)。

这里“离线环境”指的是不能连入外网安装expect工具,非离线环境下可以安装expect工具在脚本中实现互信任,能解决问题,具体方案可自行百度。但是缺点是安装了新的依赖,而且离线安装有点麻烦。

一、ssh-copy-id 原理

这里先简单说明一下ssh-copy-id的原理,看看它做了什么事。
比如执行,

ssh-copy-id root@192.168.2.7
  1. 在远程服务器(192.168.2.7)上,生成了公钥;
  2. 在远程服务器(192.168.2.7)上,将生成的公钥拷贝到~/.ssh目录下的 authorized_keys 文件中;
  3. 在远程服务器(192.168.2.7)上,将 ~/.ssh目录的权限设置成700,将~/.ssh/authorized_keys文件权限设置成600

二、开始跳过 ssh-copy-id 实现 ssh-copy-id 第 2 不,并且更新 known_hosts 文件。

说明:
known_hosts 文件也是自动化的关键,如果只是重复了ssh-copy-id 的功能,将导致第一次使用 ssh 互连时,弹出确认选项,这个也是应该避免的。
known_hosts 导致的确认选项

测试环境要求:

  • 一台客户端服务器,用于远程执行命令
  • 两台待互相信任的服务器,并且都建立了需要互相信任的用户(脚本的是:test 用户),并且在各自的 ~/.ssh目录下都生成了 id_rsa 密钥。
    直接上脚本,

for node in ${env_nodes}  #  开始迭代, env_nodes 是一个包含多个节点服务器 IP 的可迭代序列
do

    node_index=0  #  各个服务器都设置了 hostname(命名格式是 hostname + 数字),这里的 node_index 是为了构造 hostname
    for node_trust in ${env_nodes}  #  开始内部迭代
    do

        #  去远程服务器(node_trust),将```id_rsa.pub```公钥复制到客户端服务器下
        ssh test@${node_trust} "cat /home/test/.ssh/id_rsa.pub" > /tmp/id_rsa2.pub
        #  将公钥发送到远程服务器(node)
        scp -r /tmp/id_rsa2.pub test@${node}:/tmp/id_rsa2.pub
        #  去远程服务器(node)将公钥追加到 authorized_keys文件
        ssh test@${node} "cat /tmp/id_rsa2.pub >> /home/test/.ssh/authorized_keys"

        #  for known_hosts
        #  通过 ssh-keyscan -H 命令对 known_hosts 文件进行散列计算。这将把文件中的所有主机名/ip地址替换为相应的散列值。 
        #  原来文件的内容将会添加一个”.old”后缀后保存。这些散列值只能被 ssh 和 sshd 使用。 
        #  这个选项不会修改已经经过散列的主机名/ip地址,因此可以在部分公钥已经散列过的文件上安全使用。 
        ssh test@${node} "ssh-keyscan -H test${node_index},${node_trust} >> ~/.ssh/known_hosts && ssh-keyscan -H ${node_trust} >> ~/.ssh/known_hosts && ssh-keyscan -H test${node_index} >> ~/.ssh/known_hosts"

        echo "[$( date +'%Y-%m-%d %T' )] ${node} <-> ${node_trust} :ok"
        node_index=$[ ${node_index} + 1 ]

    done


done

三、

基本就到这了,不明白的可以互相交流。

编程新手可以找找现成的代码,copy、copy 用用,很多时候都能解决问题,也很快乐。

但学编程久了,一定不要脱离手敲代码这一步,编程基础的构建需要足够的练习。

Linux运维】非root用户的单向免密登录
weixin_42081167的博客
02-08 806
实现非root用户的免密登录,单向免密
云原生大佬重生,记忆逐步复苏(十:ssh详解)
wzh200506091016的博客
03-10 1144
在这里你能找到所有的ssh知识,从ssh软件包的包含工具,再到ssh连接过程的完整阐述,再到配置文件的解析再到重要ssh工具的使用
ssh-keyscan命令 收集主机的ssh公钥
01-20
ssh-keyscan命令是一个收集大量主机公钥的实用工具。它的目的是创建和验证“ssh_known_hosts”文件。 ssh-keyscan命令仅支持ssh协议版本1,在ssh协议版本2无法使用。 语法格式: ssh-keyscan [参数] 常用参数: -4 强制使用IPv4地址 -6 强制使用IPv6地址 -f 从指定文件中读取“地址列表、名字列表”对 -p 指定连接远程主机的端口 -T 指定连接尝试的超时时间 -t 指定要创建的密钥类型 -v 信息模式,打印调试信息 参考实例 收集主机ssh公钥,并输出调试信息: [root@linuxcoo
使用ssh-keyscan解决Linux离线环境多节点信任问题
最新发布
北京百思可瑞教育
09-29 1434
本文介绍了使用ssh-keyscan工具在Linux离线环境中快速配置多节点SSH信任解决方案。相比传统ssh-copy-id方法,ssh-keyscan具有非交式、批量处理和高效率的优势。文章详细解析了其工作原理,包括公钥收集、known_hosts文件生成和散列化处理等核心功能,并提供了完整的实施步骤:从密钥生成、公钥收集合并,到文件分发和权限设置。还介绍了如何编写自动化脚本以及结合Ansible等工具实现批量部署,最后针对常见问题如主机密钥变更、权限错误和连接超时提供了解决方案。该方法特别适合K
ssh-keyscan(1) command
Dablelv 的博客专栏。
12-04 2661
ssh-keyscan服务器收集 SSH 公钥。ssh-keyscan 是一个收集多个主机的 SSH 公共密钥的实用工具。它被设计用来帮助构建和验证 ssh_known_hosts 文件,其格式在 sshd(8) 中有说明。ssh- keycan 提供了一个适合 Shell 和 Perl 脚本使用的最小接口。ssh- keycan 使用非阻塞的套接字 I/O 以并行方式联系尽可能多的主机,因此非常高效。可以在几十秒内收集来自 1,000 台主机的公钥,即使其中一些主机关闭或没有运行sshd(8)。对于扫
ssh-keyscan - 收集 ssh 公钥
weixin_30319153的博客
06-28 985
总览 (SYNOPSIS) ssh-keyscan -words [-v46 ] [-p port ] [-T timeout ] [-t type ] [-f file ] [host | addrlist namelist ] [... ] 描述 (DESCRIPTION) 工具用来收集一组主机的 ssh 主机公钥 (host key), 设计目的是帮助建立和验证 ssh_known_h...
《GreenPlum系列-部署维护》GreenPlum单机节点快速安装教程
https://blog.datasource.space
03-21 2140
官方推荐使用yum的方式安装,yum安装的饿好处是,会自动帮我们下载安装依赖包。默认将greenplum软件安装到/usr/local目录下,并创建软连接。这样在root用户下修改了环境后,一旦切换到gpadmin用户,会自动加载。主要关注master和segment的目录,主机名和数据库端口。后续还有其他变量需要添加时,也添加在该文件中。开放6000,6001,54321端口。刚修改好,可以手动source一下。通过指令查询任务进程,以及端口。在~/.bashrc文件中添加。
《GreenPlum系列-部署维护》超详细Docker安装GreenPlum单机节点教程
https://blog.datasource.space
03-22 2717
官方推荐使用yum的方式安装,yum安装的饿好处是,会自动帮我们下载安装依赖包。默认将greenplum软件安装到/usr/local目录下,并创建软连接。容器的6000,6001,5432,分别对应服务器的6000,6001,5432端口,主要开放5432端口允许外部访问即可。这样在root用户下修改了环境后,一旦切换到gpadmin用户,会自动加载。安装passwd应用,可以给容器的用户设置密码,方便对本机进行免密操作。在使用gpstop的时候,提示关闭失败,提示你设置。文件中添加如下两行记录即可。
【原创】调用有道翻译Api翻译Linux命令accessdb输出内容
赵庆明老师
04-10 6977
accessdb输出内容 在linux控制台输入accessdb指令,结果密密麻麻地输出了一大堆。 [root@status ~]# accessdb $version$ -> "2.5.0" . -> "- 1 1 1633086380 0 B - - gz bash built-in commands, see bash(1)" .k5identity -> "- 5 5 1629954739 0 B - - gz Kerberos V5 client principal select
【GP6安装配置】 Greenplum6.2.1 安装手记(下)
热门推荐
LiangHC
12-21 1万+
作者:lianghc 本文分为两部分 参数配置:【GP6安装配置】 Greenplum6.2.1 安装手记(上) 执行安装:【GP6安装配置】 Greenplum6.2.1 安装手记(下) 目录 3. 集群软件安装 3.1 执行安装程序 3.2 创建hostfile_exkeys 3.3 集群信,免密登陆 3.3.1 生成密钥 3.3.2 将本机的公钥复制到各个节点机器的a...
Greenplum6.2.1 安装手记
pingrui123456的博客
07-13 1008
1.软硬件说明及必要依赖安装 1.1 软硬件说明 系统版本:centos7.0 硬件:3台虚拟机,2核,16G内存,50G硬盘 实验节点规划一个master, 4个segment,4个mirror,无standby 主机ip host 节点规划 172.28.25.201 mdw master 172.28.25.202 sdw1 seg1,seg2,mirror3,mirror4 172.28.25.203 sdw2 seg3,seg4,
ssh-keyscan命令--Linux命令应用大词典729个命令解读
weixin_33905756的博客
02-18 308
内容来源于人民邮电出版社《Linux命令应用大词典》讲述729个命令,1935个例子学习Linux系统的参考书、案头书,遇到不懂的命令或命令选项一查即可争取每天都发布内容本文出自 “airfish2000” 博客,更多命令查看博客:http://airfish2000.blog.51cto.com/10829608/1898991ssh-keyscan命令使用ssh-keys...
Linux Command ssh-keyscan
爱死亡机器人
02-02 3213
简介 工具用来收集一组主机的 ssh 主机公钥 (host key), 设计目的是帮助建立和验证 ssh_known_hosts 文件.提供了一个小巧的接口让 shell 和 perl 文件使用. 使用了非阻塞 socket I/O 函数, 尽可能多的并行访问多个主机, 因此它的效率很高. 它可以在数十秒内采集某域中 1,000 台主机的密钥, 即使某些主机离线或不使用 ssh. 扫描的时候无须登录目标主机, 也不涉及任何加密操作. 格式 ssh-keyscan -words [-v46 ] [-p por
43.6. ssh-keyscan
weixin_34212189的博客
12-20 283
# ssh-keyscan 58.96.18.16 # 58.96.18.16 SSH-2.0-OpenSSH_6.7 58.96.18.16 ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQCuKVqBeREVzDFDhTa4cdYel5TInydVSeiSQGgHPppOmRSzUC6qWpqP1HO9bgYXRTXozn...
Linux】一步一步学Linux——ssh-keyscan命令(179)
C/C++软件工程师、嵌入式软件工程师、物联网研发工程师、C/C++讲师、物联网讲师、嵌入式讲师、鸿蒙讲师---欢迎大家一起交流(私信添加博主微信)
08-23 6511
00. 目录 文章目录00. 目录01. 命令概述02. 命令格式03. 常用选项04. 参考示例05. 附录 01. 命令概述 ssh-keyscan命令是一个收集大量主机公钥的实用工具。它的目的是创建和验证“ssh_known_hosts”文件。 02. 命令格式 格式: ssh-keyscan [选项] [参数] 03. 常用选项 -4 强制使用IPv4地址 -6 强制使用IPv6地址 -...
三台节点ssh信建立
如锡如璧
04-22 2213
 本博客并不属于技术博,主要记录楼主这个生手第一次实现ssh联搭建hadoop的一堆麻烦事和解决方法: 现在先看一下建立ssh信的方法(以ubuntu为例): 具体步骤有了,楼主谈一些细节问题(很多时候都是在学习linux)。 首先,我选择三台计算机,分别命名为node1,node2,node3系统分别为ubuntu14.04·13.1·14.04。
SSH连接原理及ssh-key讲解
lgxzzz的博客
04-09 5358
第1章SSH服务介绍说明 1.1SSH服务介绍 SSH(22端口)是Secure Shell Protocol的简写,由IETF网络工作小组(Network Working Group)制定;在进行数据传输之前,SSH先对联机数据包通过加密技术进行加密处理,加密后在进行数据传输。确保了传递的数据安全。 SSH是专为远程登录会话和其他网络服务提供的安全性协议。利用SSH协议可以有效的防止远程管理过程中的信息泄露问题,在当前的生产环境运维工作中,绝大多数企业普通采用SSH协议服务来代替传统的不安全的远程联..
Ansible之SSH信任与快速入门
xiaoyu070321的博客
06-12 1002
注意 -i 参数后⾯接的是⼀个列表(List)。因此当为⼀个被管理 节点时,我们后⾯⼀定要加⼀个英⽂逗号(,),告知是List,例如。输入命令后默认情况下回车就好。
linux精简版远程登录,Linux下定制SSH来简化远程访问的方法
weixin_39970369的博客
05-09 135
SSH 使用系统全局以及用户指定(用户自定义)的配置文件。在本文中,我们将介绍如何创建一个自定义的 ssh 配置文件,并且通过特定的选项来连接到远程主机。SSH (指 SSH 客户端)是一个用于访问远程主机的程序,它使得用户能够 在远程主机上执行命令。这是在登录远程主机中的最受推崇的方法之一,因为其设计目的就是在非安全网络环境上为两台非受信主机的通信提供安全加密。SSH 使用系统全局以及用户指定(...
我需要解决【'ssh-keyscan' 不是内部或外部命令】问题
04-15
<think>好的,用户遇到了“ssh-keyscan命令未找到”的问题,需要解决。首先,我应该回忆一下这个命令通常属于哪个软件包。根据经验,ssh-keyscan是OpenSSH工具套件的一部分,所以在Linux系统中,如果找不到这个命令,可能是因为没有安装OpenSSH客户端。 接下来,我需要确认不同Linux发行版的安装方法。比如,Ubuntu或Debian系统使用apt,而CentOS或Fedora使用yum或dnf。用户可能需要根据他们的系统类型选择合适的包管理器来安装openssh-client。另外,有些系统可能默认没有安装完整的OpenSSH套件,特别是最小化安装的情况下。 然后,安装完成后,用户需要验证是否安装成功,可以通过which或者直接运行ssh-keyscan命令来检查。如果安装后依然找不到,可能需要检查环境变量PATH是否包含安装路径,不过通常包管理器会处理好这些。 另外,用户可能是在Windows系统下遇到这个问题。这时候需要确认他们是否在使用WSL或者Cygwin,或者是否安装了Git Bash,因为原生的Windows命令提示符可能不支持ssh-keyscan。如果用户使用的是Windows,建议他们安装Git for Windows,其中包含OpenSSH工具。 还要考虑用户是否拼写错误,或者是否有权限问题,但可能性较低,因为错误提示是“未找到命令”,更多是安装问题。最后,应该提醒用户安装后再次尝试命令,并确认是否需要其他帮助,比如生成或管理密钥。</think>### 分步解决方案:解决"ssh-keyscan 未找到"问题 #### 1. 确认系统环境 首先检查您的操作系统类型: - **Linux发行版**(Ubuntu/Debian/CentOS等) - **Windows系统** - **macOS系统** 不同系统解决方案不同,以下为各平台具体操作: --- #### 2. Linux系统解决方案 **步骤1:安装OpenSSH客户端包** ```bash # Ubuntu/Debian 系系统 sudo apt-get update sudo apt-get install openssh-client # CentOS/RHEL/Fedora 系系统 sudo yum install openssh-clients # 或 sudo dnf install openssh-clients ``` **步骤2:验证安装** ```bash which ssh-keyscan # 应显示路径:/usr/bin/ssh-keyscan ssh-keyscan -V # 查看版本信息(注意参数大小写) ``` --- #### 3. Windows系统解决方案 **方案1:通过Git Bash安装** 1. 下载安装 [Git for Windows](https://git-scm.com/download/win) 2. 在Git Bash终端中直接使用`ssh-keyscan`命令 **方案2:安装Windows OpenSSH组件** 1. Win10/11系统设置 → 应用 → 可选功能 → 添加功能 2. 勾选"OpenSSH客户端"进行安装[^3] --- #### 4. macOS系统解决方案 **步骤1:安装Xcode工具包** ```bash xcode-select --install ``` **步骤2:验证默认安装** ```bash which ssh-keyscan # macOS默认已包含ssh-keyscan ``` --- #### 5. 环境验证(通用) 安装完成后执行测试命令: ```bash ssh-keyscan github.com # 尝试获取GitHub的公钥 ``` --- #### 6. 路径配置(特殊场景) 若安装后仍提示找不到命令,手动添加路径: ```bash # Linux/macOS示例 export PATH="/usr/bin:$PATH" ```
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值