SSH主机免密互信自动化配置脚本使用指南

原创 已于 2025-03-07 09:52:30 修改
· 401 阅读 · 3 ·
版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#ssh #自动化 #网络

于 2025-03-07 09:50:50 首次发布

SSH主机免密互信自动化配置脚本使用指南

简介

本脚本用于自动化配置多台Linux主机之间的SSH免密登录,适用于集群环境下的互信配置。自动完成以下操作:

  • 密钥对生成与分发
  • 已知主机指纹收集(known_hosts)
  • 权限自动配置
  • 连接验证

完整代码

#!/bin/bash

# 样式定义
RED='\033[0;31m'
GREEN='\033[0;32m'
YELLOW='\033[0;33m'
NC='\033[0m' # 清除颜色

# 检查依赖
check_dependencies() {
    if ! command -v sshpass &> /dev/null; then
        echo -e "${YELLOW}正在安装sshpass...${NC}"
        if ! sudo yum install -y sshpass; then
            echo -e "${RED}sshpass安装失败,请手动安装后重试${NC}"
            exit 1
        fi
        echo -e "${GREEN}sshpass安装成功${NC}"
    fi
}

# 配置参数(根据实际情况修改)
HOSTS=(
    "user1@192.168.1.101:22:password1"
    "user2@192.168.1.102:22:password2"
)

# 主程序
main() {
    check_dependencies
  
    local tmp_dir="ssh_key_tmp"
    mkdir -p "$tmp_dir"
  
    # 阶段1: 密钥生成与收集
    echo -e "${YELLOW}=== 开始密钥生成与收集 ===${NC}"
    declare -a pubkeys
    for entry in "${HOSTS[@]}"; do
        IFS="@:" read -r user host port pass <<< "$entry"
      
        echo -e "处理主机: ${YELLOW}$host${NC}"
      
        # 生成密钥对
        if sshpass -p "$pass" ssh -o StrictHostKeyChecking=no -p "$port" "$user@$host" \
            "mkdir -p ~/.ssh && chmod 700 ~/.ssh;
             if [ ! -f ~/.ssh/id_rsa ]; then 
                ssh-keygen -t rsa -N '' -f ~/.ssh/id_rsa;
             fi"; then
            echo -e "${GREEN}密钥生成成功${NC}"
        else
            echo -e "${RED}密钥生成失败${NC}"
            exit 1
        fi
      
        # 收集公钥
        local pubfile="$tmp_dir/${host}.pub"
        if sshpass -p "$pass" scp -P "$port" -o StrictHostKeyChecking=no \
            "$user@$host:~/.ssh/id_rsa.pub" "$pubfile" &> /dev/null; then
            pubkeys+=("$pubfile")
            echo -e "${GREEN}公钥收集成功${NC}"
        else
            echo -e "${RED}公钥收集失败${NC}"
            exit 1
        fi
    done
  
    # 阶段2: 收集主机公钥到known_hosts
    echo -e "\n${YELLOW}=== 收集主机公钥到known_hosts ===${NC}"
    local known_hosts_file="$tmp_dir/known_hosts"
    for entry in "${HOSTS[@]}"; do
        IFS="@:" read -r user host port pass <<< "$entry"
        echo "收集主机 $host 的公钥..."
        if ! ssh-keyscan -p "$port" -H "$host" >> "$known_hosts_file" 2>/dev/null; then
            echo -e "${RED}无法收集主机 $host 的公钥${NC}"
            exit 1
        fi
    done
    echo -e "${GREEN}所有主机公钥收集完成${NC}"
  
    # 阶段3: 合并公钥
    echo -e "\n${YELLOW}=== 合并公钥 ===${NC}"
    local auth_file="$tmp_dir/authorized_keys"
    cat "${pubkeys[@]}" > "$auth_file"
    echo "共合并 ${#pubkeys[@]} 个公钥"
  
    # 阶段4: 分发配置
    echo -e "\n${YELLOW}=== 开始分发配置 ===${NC}"
    for entry in "${HOSTS[@]}"; do
        IFS="@:" read -r user host port pass <<< "$entry"
      
        echo -e "配置主机: ${YELLOW}$host${NC}"
      
        # 上传授权文件
        if sshpass -p "$pass" scp -P "$port" -o StrictHostKeyChecking=no \
            "$auth_file" "$user@$host:~/.ssh/authorized_keys" &> /dev/null; then
            echo -e "${GREEN}授权文件上传成功${NC}"
        else
            echo -e "${RED}授权文件上传失败${NC}"
            exit 1
        fi
      
        # 上传known_hosts文件
        if sshpass -p "$pass" scp -P "$port" -o StrictHostKeyChecking=no \
            "$known_hosts_file" "$user@$host:~/.ssh/known_hosts" &> /dev/null; then
            echo -e "${GREEN}known_hosts文件上传成功${NC}"
        else
            echo -e "${RED}known_hosts文件上传失败${NC}"
            exit 1
        fi
      
        # 设置权限
        if sshpass -p "$pass" ssh -p "$port" "$user@$host" \
            "chmod 600 ~/.ssh/authorized_keys ~/.ssh/known_hosts" &> /dev/null; then
            echo -e "${GREEN}权限设置成功${NC}"
        else
            echo -e "${RED}权限设置失败${NC}"
            exit 1
        fi
    done
  
    # 阶段5: 验证配置
    echo -e "\n${YELLOW}=== 开始验证配置 ===${NC}"
    for src_entry in "${HOSTS[@]}"; do
        IFS="@:" read -r src_user src_host src_port src_pass <<< "$src_entry"
      
        for dst_entry in "${HOSTS[@]}"; do
            IFS="@:" read -r dst_user dst_host dst_port dst_pass <<< "$dst_entry"
          
            [ "$src_host" == "$dst_host" ] && continue
          
            echo -n "验证 $src_host -> $dst_host... "
            if ssh -o StrictHostKeyChecking=no -o PasswordAuthentication=no \
                -p "$dst_port" "$dst_user@$dst_host" "exit" &> /dev/null; then
                echo -e "${GREEN}成功${NC}"
            else
                echo -e "${RED}失败${NC}"
                exit 1
            fi
        done
    done
  
    # 清理临时文件
    rm -rf "$tmp_dir"
  
    echo -e "\n${GREEN}所有主机已完成互信配置${NC}"
}

main "$@"

前提条件

  1. 网络连通性

    • 确保所有主机之间能通过SSH互相访问
    • 确认防火墙开放SSH端口(默认22)

  2. 权限准备

    • 配置用户具有sudo权限

    • 所有目标主机的用户需要具有SSH目录的写权限

  3. 依赖安装

    • 在控制节点安装sshpass:
    # CentOS/RHEL
sudo yum install -y sshpass

# Ubuntu/Debian
sudo apt install -y sshpass

配置步骤

  1. 给脚本添加执行权限

    chmod +x ssh_trust.sh

  2. 编辑脚本中主机配置文件
    修改HOSTS数组为实际环境配置:

    HOSTS=# 格式:用户名@IP:端口:密码
    "admin@10.0.0.1:22:S3curePass!1"
    "ops@10.0.0.2:2222:MyP@ssw0rd"

  3. 执行脚本

    ./ssh_trust.sh

参数说明

参数格式说明
username@IP:port:password用户名@IP地址:SSH端口:密码

执行流程

  1. 密钥生成阶段

    • 检查并安装sshpass
    • 为每台主机生成SSH密钥对

  2. 指纹收集阶段

    • 使用ssh-keyscan收集所有主机指纹
    • 生成统一的known_hosts文件

  3. 分发配置阶段

    • 部署authorized_keys和known_hosts文件
    • 自动设置600权限

  4. 验证阶段

    • 检查所有主机间的互信连接

注意事项

  • 密码安全
    脚本执行后会残留密码信息,建议执行后:

    shred -u ssh_trust.sh

  • 密钥覆盖警告
    会覆盖现有~/.ssh/authorized_keys,重要环境建议备份:

    cp ~/.ssh/authorized_keys ~/.ssh/authorized_keys.bak

  • 特殊环境

    • 如启用SELinux,需保持策略为允许SSH连接
    • 非标准端口需在防火墙中特别放行

常见问题排查

问题1:主机密钥验证失败

# 手动验证指纹(示例)
ssh-keyscan -p 22 10.0.0.1 >> ~/.ssh/known_hosts

问题2:权限不足错误

# 检查目录权限
ls -ld ~/.ssh
# 应显示drwx------

问题3:sshpass连接超时

# 检查网络连通性
tcping 10.0.0.1 22
# 验证目标SSH服务状态
systemctl status sshd

问题4:脚本卡在确认提示

# 在ssh命令添加-o StrictHostKeyChecking=no
ssh -o StrictHostKeyChecking=no user@host

如问题仍存在,可查看脚本执行时的详细输出:

bash -x ssh_trust.sh
翼秋
关注
OpenStack详解、排错、经验总结
weixin_40548182的博客
09-02 1709
第1章 Openstack简介 1.1 计算(Compute):Nova。 一套控制器,用于为单个用户或使用群组管理虚拟机实例的整个生命周期,根据用户需求来提供虚拟服务。负责虚拟机创建、开机、关机、挂起、暂停、调整、迁移、重启、销毁等操作,配置CPU、内存等信息规格。自Austin版本集成到项目中。 1.2 对象存储(Object Storage):Swift。 一套用于在大规模可扩展系统中通过内置冗余及高容错机制实现对象存储的系统,允许进行存储或者检索文件。可为Glance提供镜像存储,为Cinder提供
网络安全等级保护实施指导细则详解
悦分享
09-15 3225
指出现短时故障无法提供服务,可能对社会秩序、公共利益等造成严重损害的系统,即可用性级别大于等于99.9%,年度停机时间小于等于8.8小时的系统;一般包括但不限于银行、证券、非金融支付机构、互联网金融等交易类系统,提供公共服务的民生类系统、工业控制类系统等。
ssh远程执行脚本
09-22
1、可同时在多台Linux执行同一个指令。 2、主节点需要与其它节点配置。 3、脚本简单,请先测试.(sh ssh_do_command.sh "ls")
一个简单的ssh安全shell脚本
qq_56776641的博客
04-12 1267
再次,通过日志可以看到关键信息“Failed password”表示码错误,有可能是手误输错,所以就需要设定几次错误为恶意试探码,建议设置为4,另一个关键信息是需要将码错误的IP地址提取出来,对提取出来的IP地址进行统计次数。其次,模拟远程访问输错码,查看日志文件,Dec 26 11:34:53 agent1 sshd[3060]: Failed password for root from 192.168.211.1 port 2075 ssh2。应用场景:防止恶意IP尝试ssh登录。
利用sshpass对主机批量SSH
最新发布
专注网络安全、Linux、K8s等技术分享,愿你在云计算运维领域不断进阶,欢迎随时交流。
04-04 339
前面文章讲了sshpass工具的作用和用法,也介绍了两台服务器之间登录。sshpass的缺点也非常明显,码容易泄露。正式环境还是推荐用SSH钥(更安全),SSHPass 适合临时或测试场景。所以利用sshpass对主机批量SSH,记录过程。
简洁的一键SSH脚本
隔壁阿九的博客
03-06 736
这里发一个自己图省事搞的一个批量打通SSH脚本,可能对于好多朋友也是有用的,是expect+python的一个组合实现,原理很简单,使用起来也不复杂,在此还是简单贴出来说说。 noscp.exp #!/usr/bin/expect#noscp.expif {$argc<4} { puts stderr "Usage: $argv0 localfile remotefile user pas
ssh 单机互信脚本
qq_63698117的博客
07-27 275
【代码】ssh 单机互信脚本
ssh到远程主机后执行命令脚本
wyx的博客
09-21 1001
这是因为我们把赋值语句放在了输入重定向里面(<<eof..eof),这种情况下,脚本中的赋值语句将在本地的shell执行,而不是在远程机器B上执行,ssh远程过去后再直接返回A机器上执行的。需求:ssh到远程主机后执行命令,命令里面包含变量以及变量的赋值。可以看到echo $(ls) 返回是空。注意对比LSRESULT运行结果。解决方法:在变量声明加入\转义。
「实战系列」万字长文轻松学会 Greenplum 6.2.1 安装配置
Greenplum中文社区
08-31 856
2019年12月12号,pivotal 发布gp6.2.1,适逢公司gp集群扩建升级,需要确定版本,所以安装gp6的版本与gp5做比对测试。本文档参考官方文档,按照官方标准步骤一步一步安装完成。文档中列举了gp6 与旧版本安装的差异点。 时间:20191217 安装版本:greenplum 6.2.1 下载地址:https://network.pivotal.io/products/pivotal-gpdb/#/releases/526878 官方安装文档:https://gpdb.docs.pivot.
Greenplum 6安装指南(CentOS 7.X)
SaySyan的博客
05-27 694
一、基本概念 Greenplum是一个面向数据仓库应用的关系型数据库,因为有良好的体系结构,所以 在数据存储、高并发、高可用、线性扩展、反应速度、易用性和性价比等方面有非常 明显的优势。Greenplum是一种基于PostgreSQL的分布式数据库,其采用sharednothing架构,主机、操作系统、内存、存储都是自我控制的,不存在共享。 本质上讲Greenplum是一个关系型数据库集群,它实际上是由数个独立的数据库服务 组合成的逻辑数据库。与RAC不同,这种数据库集群采取的是MPP(Massively
【Oracle】之Centos7.6安装部署Oracle19c RAC集群
博学思的博客
11-01 1366
生产环境根据企业业务发展和项目需求,会根据业务的重要性,对业务数据库选型,并建立数据模型,数据库设计等。本次针对Oracle数据库的RAC集群环境做安装部署,RAC集群是企业最在orale数据库中最常用的一种部署方案,通过RAC集群可实现oracle数据库实例级别的高可用。磁盘RAID、共享存储、DG、OGG及流技术可实现oracle集群架构的组合高可用方案,可同城灾备,也可异地容灾。
ssh 自动登录电脑运行命令脚本
04-13
设置用户名码后,ssh登录到另一台linux电脑,自动运行命令
ssh信任建立及脚本
05-29
NULL 博文链接:https://liyuan462.iteye.com/blog/1041448
ssh 远程脚本
neolan00的博客
10-08 279
之前用本地explorer练手,目标就是连接远程linux服务器。
【Linux】【shell】ssh互信脚本,亲测很实用
weixin_39372311的博客
07-08 1036
通过这个脚本,我们可以大大简化SSH互信的设置过程,提高服务器管理的效率。希望这个脚本对大家的工作有所帮助。如果您有任何问题或建议,欢迎在评论区交流。
linux ssh登录脚本,sssh - 快速 ssh 登陆脚本
weixin_39655993的博客
05-02 1684
脚本对于那些需要经常 ssh登陆远程服务器的朋友应该有点用处。尤其是需要中转服务器 ssh 2次以上的。脚本功能包括:将服务器 IP 和码保存于文本文件中(明文保存,安全性要自己保证),方便登陆,支持多次 ssh中转,支持服务器编码自动转换,支持某个用户名的通用码。使用方法:最好将脚本保存在 PATH 变量包含的路径下,建议保存于 ~/bin 并确保此目录在PATH 中。编写 ~/.pass...
SSH远程执行脚本
wj1298250240的博客
01-08 2557
SSH远程执行命令参考 #!/bin/bash #变量定义 ip_array=("192.168.1.1" "192.168.1.2" "192.168.1.3") user="test1" remote_cmd="/home/test/1.sh" #本地通过ssh执行远程服务器的脚本 for ip in ${ip_array[*]} do if [ $ip = "192.168.1.1" ]; then port="7777" else port="22" fi ssh -t -p
Linux Shell远程执行命令(命令行与脚本方式)
weixin_34273046的博客
05-15 8132
shell远程执行:   经常需要远程到其他节点上执行一些shell命令,如果分别ssh到每台主机上再去执行很麻烦,因此能有个集中管理的方式就好了。一下介绍两种shell命令远程执行的方法。 前提条件:   配置ssh码登陆 对于简单的命令:   如果是简单执行几个命令,则: ssh user@remoteNode "cd /home ; ls" ...
SSH自动登录脚本
我只是个程序员的专栏
11-09 619
#!/usr/bin/expect -fset user root set host 192.168.0.1 set password 123456spawn ssh $user@$host expect "*password:" send "$password\r" expect "]*" send "ls \r" interactsend:用于像进程发送字符串 expect:从进程接受字符串
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值