170. 【Linux】ssh-keyscan-解决“离线环境”多节点互信任问题

最新推荐文章于 2025-05-18 17:23:16 发布
原创 最新推荐文章于 2025-05-18 17:23:16 发布 · 365 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #ssh #服务器

文章介绍了在没有外网的离线环境中,如何使用ssh-keygen和ssh-copy-id命令的原理来实现多台Linux服务器之间的互相信任,避免ssh登录和远程执行脚本时需要密码。此外,还提供了一个shell脚本来自动化处理公钥的传输和known_hosts文件的更新,以实现完全自动化的过程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

昨天写了篇 169. 《Linux 命令行与 shell 脚本编程大全》收官,只顾着自己开心了,今天写篇“离线环境”下基于ssh-keyscan的多个 Linux 服务器节点的互信任解决方案。

做 Linux 运维的同学基本都知道先使用ssh-keygen命令再使用ssh-copy-id命令可以实现两台服务器互相信任,ssh 登录将无需密码,ssh 远程执行脚本也将无需输入密码,省去人工交互的步骤(这步很重要,毕竟加上人工就不算完全的自动化,因为没解放人工劳动力)。

这里“离线环境”指的是不能连入外网安装expect工具,非离线环境下可以安装expect工具在脚本中实现互信任,能解决问题,具体方案可自行百度。但是缺点是安装了新的依赖,而且离线安装有点麻烦。

一、ssh-copy-id 原理

这里先简单说明一下ssh-copy-id的原理,看看它做了什么事。
比如执行,

ssh-copy-id root@192.168.2.7
  1. 在远程服务器(192.168.2.7)上,生成了公钥;
  2. 在远程服务器(192.168.2.7)上,将生成的公钥拷贝到~/.ssh目录下的 authorized_keys 文件中;
  3. 在远程服务器(192.168.2.7)上,将 ~/.ssh目录的权限设置成700,将~/.ssh/authorized_keys文件权限设置成600

二、开始跳过 ssh-copy-id 实现 ssh-copy-id 第 2 不,并且更新 known_hosts 文件。

说明:
known_hosts 文件也是自动化的关键,如果只是重复了ssh-copy-id 的功能,将导致第一次使用 ssh 互连时,弹出确认选项,这个也是应该避免的。
known_hosts 导致的确认选项

测试环境要求:

  • 一台客户端服务器,用于远程执行命令
  • 两台待互相信任的服务器,并且都建立了需要互相信任的用户(脚本的是:test 用户),并且在各自的 ~/.ssh目录下都生成了 id_rsa 密钥。
    直接上脚本,

for node in ${env_nodes}  #  开始迭代, env_nodes 是一个包含多个节点服务器 IP 的可迭代序列
do

    node_index=0  #  各个服务器都设置了 hostname(命名格式是 hostname + 数字),这里的 node_index 是为了构造 hostname
    for node_trust in ${env_nodes}  #  开始内部迭代
    do

        #  去远程服务器(node_trust),将```id_rsa.pub```公钥复制到客户端服务器下
        ssh test@${node_trust} "cat /home/test/.ssh/id_rsa.pub" > /tmp/id_rsa2.pub
        #  将公钥发送到远程服务器(node)
        scp -r /tmp/id_rsa2.pub test@${node}:/tmp/id_rsa2.pub
        #  去远程服务器(node)将公钥追加到 authorized_keys文件
        ssh test@${node} "cat /tmp/id_rsa2.pub >> /home/test/.ssh/authorized_keys"

        #  for known_hosts
        #  通过 ssh-keyscan -H 命令对 known_hosts 文件进行散列计算。这将把文件中的所有主机名/ip地址替换为相应的散列值。 
        #  原来文件的内容将会添加一个”.old”后缀后保存。这些散列值只能被 ssh 和 sshd 使用。 
        #  这个选项不会修改已经经过散列的主机名/ip地址,因此可以在部分公钥已经散列过的文件上安全使用。 
        ssh test@${node} "ssh-keyscan -H test${node_index},${node_trust} >> ~/.ssh/known_hosts && ssh-keyscan -H ${node_trust} >> ~/.ssh/known_hosts && ssh-keyscan -H test${node_index} >> ~/.ssh/known_hosts"

        echo "[$( date +'%Y-%m-%d %T' )] ${node} <-> ${node_trust} :ok"
        node_index=$[ ${node_index} + 1 ]

    done


done

三、

基本就到这了,不明白的可以互相交流。

编程新手可以找找现成的代码,copy、copy 用用,很多时候都能解决问题,也很快乐。

但学编程久了,一定不要脱离手敲代码这一步,编程基础的构建需要足够的练习。

三台节点ssh信建立
如锡如璧
04-22 2166
 本博客并不属于技术博,主要记录楼主这个生手第一次实现ssh联搭建hadoop的一堆麻烦事和解决方法: 现在先看一下建立ssh信的方法(以ubuntu为例): 具体步骤有了,楼主谈一些细节问题(很多时候都是在学习linux)。 首先,我选择三台计算机,分别命名为node1,node2,node3系统分别为ubuntu14.04·13.1·14.04。
ssh-keyscan命令 收集主机的ssh公钥
01-20
ssh-keyscan命令是一个收集大量主机公钥的实用工具。它的目的是创建和验证“ssh_known_hosts”文件。 ssh-keyscan命令仅支持ssh协议版本1,在ssh协议版本2无法使用。 语法格式: ssh-keyscan [参数] 常用参数: -4 强制使用IPv4地址 -6 强制使用IPv6地址 -f 从指定文件中读取“地址列表、名字列表”对 -p 指定连接远程主机的端口 -T 指定连接尝试的超时时间 -t 指定要创建的密钥类型 -v 信息模式,打印调试信息 参考实例 收集主机ssh公钥,并输出调试信息: [root@linuxcoo
ssh-keyscan(1) command
Dablelv 的博客专栏。
12-04 2436
ssh-keyscan服务器收集 SSH 公钥。ssh-keyscan 是一个收集多个主机的 SSH 公共密钥的实用工具。它被设计用来帮助构建和验证 ssh_known_hosts 文件,其格式在 sshd(8) 中有说明。ssh- keycan 提供了一个适合 Shell 和 Perl 脚本使用的最小接口。ssh- keycan 使用非阻塞的套接字 I/O 以并行方式联系尽可能多的主机,因此非常高效。可以在几十秒内收集来自 1,000 台主机的公钥,即使其中一些主机关闭或没有运行sshd(8)。对于扫
Linux SSH 远程连接全攻略:从加密原理到实战配置(含图解)
2403_88333522的博客
05-18 1280
通过本文的理论解析与实战操作,可全面掌握 SSH 的安全配置与认证机制,构建可靠的远程管理通道。在生产环境中,建议结合企业安全策略,定期进行渗透测试与配置审计,确保系统免受中间人攻击与暴力破解威胁。
ssh-keyscan - 收集 ssh 公钥
weixin_30319153的博客
06-28 955
总览 (SYNOPSIS) ssh-keyscan -words [-v46 ] [-p port ] [-T timeout ] [-t type ] [-f file ] [host | addrlist namelist ] [... ] 描述 (DESCRIPTION) 工具用来收集一组主机的 ssh 主机公钥 (host key), 设计目的是帮助建立和验证 ssh_known_h...
ssh-keyscan命令--Linux命令应用大词典729个命令解读
weixin_33905756的博客
02-18 286
内容来源于人民邮电出版社《Linux命令应用大词典》讲述729个命令,1935个例子学习Linux系统的参考书、案头书,遇到不懂的命令或命令选项一查即可争取每天都发布内容本文出自 “airfish2000” 博客,更多命令查看博客:http://airfish2000.blog.51cto.com/10829608/1898991ssh-keyscan命令使用ssh-keys...
Linux Command ssh-keyscan
爱死亡机器人
02-02 3055
简介 工具用来收集一组主机的 ssh 主机公钥 (host key), 设计目的是帮助建立和验证 ssh_known_hosts 文件.提供了一个小巧的接口让 shell 和 perl 文件使用. 使用了非阻塞 socket I/O 函数, 尽可能多的并行访问多个主机, 因此它的效率很高. 它可以在数十秒内采集某域中 1,000 台主机的密钥, 即使某些主机离线或不使用 ssh. 扫描的时候无须登录目标主机, 也不涉及任何加密操作. 格式 ssh-keyscan -words [-v46 ] [-p por
ssh-keyscan gitlab.com >> ~/.ssh/known_hosts这步结束显示 10.100.。176.20:22 SSH-2.0.0-OpenSSH_7.4 算正确了吗
03-23
好的,我现在需要解决用户的问题:验证ssh-keyscan命令执行结果是否正确,特别是当显示具体服务器信息如“10.100.*.*:22 SSH-2.0/OpenSSH_7.4”时是否表示成功。 首先,我需要回忆ssh-keyscan的作用。这个命令用于...
ssh-keyscan gitlab.com >> ~/.ssh/known_hosts 这步是干嘛的
03-21
引用[2]说明ssh-keyscan用于收集多个主机的公钥,帮助构建和验证known_hosts文件。所以当用户运行这个命令时,它会主动获取gitlab.com的SSH公钥,并将其添加到本地的known_hosts文件中。 然后,为什么需要这样做呢...
# 首次连接时自动创建 ssh-keyscan 192.168.43.232 >> $ env:USERPROFILE\.ssh\known_hosts # 手动验证指纹(可选) ssh-keyscan 192.168.43.232 | ForEach { $ _.Split(' ')[0,1] -join ' ' },这一步在执行的时候,报提示:read (192.168.43.232): Connection reset
最新发布
06-21
示例命令(指定端口):```powershellssh-keyscan-p2222192.168.43.232```生成相关问题:1.如何解决Windows上Test-NetConnection命令不可用的问题?2.Linux服务器SSH服务无法启动的常见原因有哪些?3.如何配置...
如何使用"ssh-keyscan"命令重新收集服务器的公钥并更新本地主机密钥
02-06
可以使用 "ssh-keyscan" 命令重新收集服务器的公钥并更新本地主机密钥,具体步骤如下: 1. 使用 "ssh-keyscan" 命令扫描服务器的公钥,命令格式为 "ssh-keyscan [服务器IP地址]"。 2. 将扫描结果追加到 "~/.ssh/...
43.6. ssh-keyscan
weixin_34212189的博客
12-20 270
# ssh-keyscan 58.96.18.16 # 58.96.18.16 SSH-2.0-OpenSSH_6.7 58.96.18.16 ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQCuKVqBeREVzDFDhTa4cdYel5TInydVSeiSQGgHPppOmRSzUC6qWpqP1HO9bgYXRTXozn...
Linux常用命令——ssh-keyscan命令
AI的博客
01-22 420
主机列表:指定要收集公钥的主机列表。是一个收集大量主机公钥的使用工具。收集主机公钥的使用工具。
Linux】一步一步学Linux——ssh-keyscan命令(179)
C/C++软件工程师、嵌入式软件工程师、物联网研发工程师、C/C++讲师、物联网讲师、嵌入式讲师、鸿蒙讲师---欢迎大家一起交流(私信添加博主微信)
08-23 6284
00. 目录 文章目录00. 目录01. 命令概述02. 命令格式03. 常用选项04. 参考示例05. 附录 01. 命令概述 ssh-keyscan命令是一个收集大量主机公钥的实用工具。它的目的是创建和验证“ssh_known_hosts”文件。 02. 命令格式 格式: ssh-keyscan [选项] [参数] 03. 常用选项 -4 强制使用IPv4地址 -6 强制使用IPv6地址 -...
SSH连接原理及ssh-key讲解
lgxzzz的博客
04-09 5290
第1章SSH服务介绍说明 1.1SSH服务介绍 SSH(22端口)是Secure Shell Protocol的简写,由IETF网络工作小组(Network Working Group)制定;在进行数据传输之前,SSH先对联机数据包通过加密技术进行加密处理,加密后在进行数据传输。确保了传递的数据安全。 SSH是专为远程登录会话和其他网络服务提供的安全性协议。利用SSH协议可以有效的防止远程管理过程中的信息泄露问题,在当前的生产环境运维工作中,绝大多数企业普通采用SSH协议服务来代替传统的不安全的远程联..
Ansible之SSH信任与快速入门
xiaoyu070321的博客
06-12 966
注意 -i 参数后⾯接的是⼀个列表(List)。因此当为⼀个被管理 节点时,我们后⾯⼀定要加⼀个英⽂逗号(,),告知是List,例如。输入命令后默认情况下回车就好。
linux精简版远程登录,Linux下定制SSH来简化远程访问的方法
weixin_39970369的博客
05-09 104
SSH 使用系统全局以及用户指定(用户自定义)的配置文件。在本文中,我们将介绍如何创建一个自定义的 ssh 配置文件,并且通过特定的选项来连接到远程主机。SSH (指 SSH 客户端)是一个用于访问远程主机的程序,它使得用户能够 在远程主机上执行命令。这是在登录远程主机中的最受推崇的方法之一,因为其设计目的就是在非安全网络环境上为两台非受信主机的通信提供安全加密。SSH 使用系统全局以及用户指定(...
集群机器之间 SSH 免密登录的一键脚本
HHHBan的博客
09-14 332
创建 /root/host_list 文件,内容如下:分别是IP地址、用户、密码、用户的家目录、主机名。
ssh免密登录
weixin_41318491的博客
09-04 496
ssh免密登录
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值