SSH协议管理多主机(SSH协议的两种用法、生产环境用户初始化、结果返回值处理)

已于 2024-08-08 11:28:46 修改
阅读量469 收藏 8
点赞数 17
分类专栏: shell脚本 文章标签: shell ssh
于 2024-08-07 17:04:07 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_60125201/article/details/140996464
版权

1 ssh协议简要介绍

1.1 基本概念

SSH是(Secure Shell)的缩写,安全外壳协议

专为远程登录会话和其他网络服务提供安全性的协议

先对数据包加密再传输,确保安全性

1.2 基本框架

1.3 SSH工作过程

①ssh版本协商

②密钥和算法协商

③认证阶段

④会话请求阶段

⑤交互会话阶段

2 shell中SSH协议的两种用法

2.1 基础概念

  • SSH非免密登录执行-基于口令的验证

  • SSH免密登录执行-基于密钥的验证

2.2 基于脚本进行SSH非免密登录执行

SSH指令输入缺点

通过SSH密码形式,可以指定用户名和密码通过SSH连接到远程主机并执行操作。在管理大量主机时,手动输入密码效率低。

[root@localhost ~]# ssh root@10.0.1.138 "df -h"
The authenticity of host '10.0.1.138 (10.0.1.138)' can't be established.
ECDSA key fingerprint is SHA256:LUW4qUtDjUV1HL3TK99daDGkNJIhujTDfK7F+BxaslM.
ECDSA key fingerprint is MD5:0d:c3:c6:95:52:c8:44:e8:40:66:87:a5:2b:95:14:85.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '10.0.1.138' (ECDSA) to the list of known hosts.
root@10.0.1.138's password:
Filesystem               Size  Used Avail Use% Mounted on
devtmpfs                 1.9G     0  1.9G   0% /dev
tmpfs                    1.9G     0  1.9G   0% /dev/shm
tmpfs                    1.9G   12M  1.9G   1% /run
tmpfs                    1.9G     0  1.9G   0% /sys/fs/cgroup
/dev/mapper/centos-root   46G  4.1G   42G   9% /
/dev/sda1               1014M  151M  864M  15% /boot
overlay                   46G  4.1G   42G   9% /var/lib/docker/overlay2/3aebdb4bdcf0d130031bd229b351d92bf94154f51b5789cc4ff7f85562e9ec38/merged
tmpfs                    378M     0  378M   0% /run/user/0

使用SSHpass工具,允许脚本中通过给定密码自动登录和执行指令。SSHpass使用-p参数提供密码,实现脚本中自动填写密码。

[root@localhost ~]# yum -y install sshpass
[root@localhost ~]# sshpass -p000000 ssh root@10.0.1.138 "df -h"
Filesystem               Size  Used Avail Use% Mounted on
devtmpfs                 1.9G     0  1.9G   0% /dev
tmpfs                    1.9G     0  1.9G   0% /dev/shm
tmpfs                    1.9G   12M  1.9G   1% /run
tmpfs                    1.9G     0  1.9G   0% /sys/fs/cgroup
/dev/mapper/centos-root   46G  4.1G   42G   9% /
/dev/sda1               1014M  151M  864M  15% /boot
overlay                   46G  4.1G   42G   9% /var/lib/docker/overlay2/3aebdb4bdcf0d130031bd229b351d92bf94154f51b5789cc4ff7f85562e9ec38/merged
tmpfs                    378M     0  378M   0% /run/user/0

SSH首次连接时会提示确认主机密钥,需要于动输入yes或no。

[root@localhost ~]# ssh root@10.0.1.138 "df -h"
Are you sure you want to continue connecting (yes/no)? yes

通过SSH命令的-o选项和StrictHostKeyChecking参数,可以设置为自动接受主机密钥,避免每次连接时手动确认。将参数值设为no,可以禁止显示提示性信息,实现在脚本中的自动连接。

[root@localhost ~]# sshpass -p000000 ssh -o StrictHostKeyChecking=no root@10.0.1.138 "ls"
anaconda-ks.cfg

脚本中封装SSH命令

1.编写脚本,封装SSH命令,实现批量执行和免密码输入。使用for循环遍历主机列表,通过SSHpass和-p参数自动登录并执行指令。使用变量引入用户名和密码,提高脚本的灵活性和可重复使用性。脚本执行时,通过传递参数指定要执行的指令,如df-h或uptime等。

#!/bin/bash
host_list="10.0.1.133 10.0.1.138"
user_name=root
user_pass=000000
for host in $host_list;do
   sshpass -p$user_pass ssh -o StrictHostKeyChecking=no $user_name@$host "$1"
done
[root@localhost shell]# sh ssh.sh hostname
localhost.localdomain
node

2.3 进行SSH免密登录

ssh免密登录过程

管理主机通过SSH协议免密登录到多台远程主机。

管理主机生成一对公钥和私钥,公钥分发给需要被管理的远程主机。

管理主机利用私钥与远程主机上的公钥进行匹配验证,实现免密登录。

免密环境配置

1.使用ssh-keygen指令生成公钥和私钥,并将公分发给远程主机。

2.通过SSH-copy-ID指令自动将公钥文件复制到远程主机并配置免密登录。

[root@localhost shell]# ssh-keygen -t rsa
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
The key fingerprint is:
SHA256:WJ8v7E68CrI6EJrEmUQfgNpbWPMS/Den55uc78uDwiw root@localhost.localdomain
The keys randomart image is
+---[RSA 2048]----+
|oo.o             |
|... *            |
|+.o+ =  .        |
|o=o o ooo...     |
|oo o ...S+o      |
|+ .     .o..     |
| .  . .o o=..    |
|  .  oE.++o*.    |
|  .o.  ..+O+=o   |
+----[SHA256]-----+

[root@localhost ~]# cd .ssh/
[root@localhost .ssh]# ls
id_rsa  id_rsa.pub  known_hosts

[root@localhost .ssh]# ssh-copy-id root@10.0.1.138
/usr/bin/ssh-copy-id: INFO: Source of key(s) to be installed: "/root/.ssh/id_rsa.pub"
/usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed
/usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys

[root@node ~]# cd .ssh/
[root@node .ssh]# ls
authorized_keys
[root@node .ssh]# cat authorized_keys
ssh-rsa AAAAB3NzaC1yc2EAAA root@localhost.localdomain

2.4 非免密和免密各自适用场景

非免密:集群环境初始化,免密环境初始化。

免密:

安全策略要求较高,root密码定期更换。

自动化运维工具必备,例如ansible。

分布式、大规模集群环境高效运维必备。

SSH非免密与免密的结合使用

第一步:利用SSH非免密创建免密环境

第二步:借组免密环境,利用其他自动化运维工具完成应用安装部署

3 生产环境集群初始化完整脚本

3.1 任务要求:

1、管理主机本地创建用户、设置密码

2、管理主机创建的用户生成密钥对

3、利用SSH非免密在所有主机创建用户

4、利用SSH非免密将管理主机公钥内容写入所有主机authorized_keys文件

[root@localhost shell]# cat init-env.sh
#!/bin/bash
if [ $# -lt 2 ];then
    echo "Usage: $0  user_name user_pass"
    exit 1
fi
# 初始化变量
ROOT_PASS="000000"
USER_NAME=$1
USER_PASS=$2
HOST_LIST="10.0.1.138"
# 1、管理主机本地创建用户、设置密码
useradd $USER_NAME
echo "$USER_PASS" | passwd --stdin $USER_NAME
# 2、管理主机创建的用户生成密钥对
su - $USER_NAME -c "echo "" | ssh-keygen -t rsa"
PUB_KEY="`cat /home/$USER_NAME/.ssh/id_rsa.pub`"
# 3、利用SSH非免密在所有主机创建用户
# 4、利用SSH非免密将管理主机公钥内容写入所有主机authorized_keys文件
for host in $HOST_LIST;do
    sshpass -p$USER_PASS ssh -o StrictHostKeyChecking=no root@$host "useradd $USER_NAME"
    sshpass -p$USER_PASS ssh -o StrictHostKeyChecking=no root@$host "echo "$USER_PASS" | passwd --stdin $USER_NAME"
    sshpass -p$USER_PASS ssh -o StrictHostKeyChecking=no root@$host "mkdir /home/$USER_NAME/.ssh -pv"
    sshpass -p$USER_PASS ssh -o StrictHostKeyChecking=no root@$host "echo $PUB_KEY > /home/$USER_NAME/.ssh/authorized_keys"
    sshpass -p$USER_PASS ssh -o StrictHostKeyChecking=no root@$host "chmod 600 /home/$USER_NAME/.ssh/authorized_keys"
    sshpass -p$USER_PASS ssh -o StrictHostKeyChecking=no root@$host "chown -R $USER_NAME:$USER_NAME /home/$USER_NAME/.ssh"
done

3.2 任务验证:

[root@localhost shell]# chmod +x init-env.sh
[root@localhost shell]# sh init-env.sh usertest 000000
[root@localhost shell]# su - usertest
[usertest@localhost shell]# ssh usertest@10.0.1.138
[usertest@node]# 
可以看到可以免密登录了即是成功

4 SSH跨主机执行指令结果返回值处理

1.通过SSH在管理主机上远程执行命令,需处理指令执行状态和结果。

2.指令执行成功通常返回0值,否则返回非0值。

[root@node0 shell]# ls
init-env.sh  ssh.sh
[root@node0 shell]# echo $?
0
[root@node0 shell]# netstat -tnlp |grep :8000
[root@node0 shell]# echo $?
1

3.返回值处理对编写依赖指令执行结果的脚本。

4.1 脚本失败处理策略

1.监测脚本执行过程中的失败是非常重要的,以便及时采取措施。

2.推荐在脚本中加入错误处理逻辑,如遇到执行失败则立即退出脚本。

3.通过日志打印等方式及时报告执行失败,以便快速定位问题。

#!/bin/bash
#
#第一条指令
cat /etc/fstab
#第二条指令 明显没有这个指令
123456 
#第三条指令
cat /etc/inittab

虽然第二个指令报错了,但是还是会运行第三个指令。使用以下方法来结束脚本。

#!/bin/bash
#
#第一条指令
cat /etc/fstab
if [ $? -eq 0 ];then
    echo "123456"
else
    exit 99
fi
#第二条指令 明显没有这个指令
123456  || exit 100
#第三条指令
cat /etc/inittab
颗粒CloudCoder
关注
  • 17
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
UnixBench分数计算与多进程测试
qq_39280836的博客
08-08 153
在支持较好的测试机上直接运行RUN脚本即可得到测试结果。
liunx运行脚本文件sh,和window运行脚本文件命令及注意事项总结
帆的博客
08-05 860
Windows Subsystem for Linux (WSL) 允许你在Windows上运行Linux环境。脚本文件是用于在类Unix操作系统(如Linux和macOS)中运行的Shell脚本。在Windows中,你可以使用一些工具和环境来运行这些脚本。无论是通过WSL、Git Bash、Cygwin,还是直接使用PowerShell调用WSL,你都可以方便地执行这些脚本。Git Bash 是一个用于Windows的应用程序,提供了一个类似于Linux的命令行环境,可以运行。
Linux shell编程学习笔记68: curl 命令行网络数据传输工具 选项数量雷人(上)
Purpleendurer@CSDN
08-04 1120
在网络时代,有经常需要在网络上传输数据,时我们需要通过网络下载文件,为了满足这种时代需要,Linux提供了众多网络命令,我们今天先研究curl命令。例如,我们可以使用curl从 URL 下载文件,或将文件上传到服务器。
Linux Shell编程--脚本运行与变量置换
小李学不完的博客
08-08 765
Shell脚本运行、修改权限不管脚本有没有x(可执行)权限,都可以执行、sh脚本的绝对路径执行脚本、 bash 脚本的相对路径执行脚本、bash 脚本的绝对路径执行脚本、脚本的绝对路径/相对路径(需要脚本的+x权限)、脚本的相对路径执行脚本可以发现,执行./hello.sh需要x权限】、收回权限再次使用绝对路径执行脚本、source脚本的绝对路径/相对路径执行脚本source执行脚本时,不管脚本有没有x(可执行权限
【vulhub靶场之rsync关】
weixin_57240513的博客
08-05 872
查看一下文件里面的内容,里面的大概意思就是每17分钟调用一次/etc/cron.hourly。nmap -p 873 --script rsync-list-modules 加IP地址。随便往里面写一个文件测试一下,例如phpinfo.php,如下命令在kali创建一个文件。等待17分钟后,查看监听到的信息,代表连接成功。将文件再上传到受害者,也就是靶场环境里。在kali机子上拉取一个shell文件。查看src目录里面的信息。查看到是有漏洞的模块的。将文件下载下到kali。将shell文件提权。
Linux5:Shell编程——函数、重定向
纸上得来终觉浅
08-05 1582
Shell编程——函数、重定向
shell编程练习(三)
2301_77279557的博客
08-08 210
常见的shell编程以及自动化脚本
Linux运维_Bash脚本_二进制文件部署Docker-CE-26.1.4
goufeng93的博客
08-09 263
Linux运维 Bash脚本 二进制文件部署Docker-CE-26.1.4。
DC-7靶机渗透测试
m0_66225311的博客
08-06 813
依旧是远古靶机,尝试又做了一做,用了一些不同样的方法将其再次攻破,这次主要学习了一下Drush 命令,用于重置 Drupal 网站中特定用户(通常是管理用户)的密码为指定的新密码。这个获取后台登陆密码的方式太过新奇了,不好好查询资料,即使好好查或许也不一定能查得到。记住了这个知识点了,万一域渗透就用到了呢,用户横向移动到另外一台靶机,发现就是Drupal 网站,直接重置密码。查看文件也能获取一些定时任务的蛛丝马迹。
Linux Shell编程--数组
小李学不完的博客
08-09 106
Shell 脚本中的数组允许你存储多个值,并可以通过索引访问它们。Shell 中的数组是一维的。Shell中的数组虽然功能有限,但通过一些技巧和方法,仍然可以有效地进行数组操作和处理
win设置exe程序自启动
半两八斤的博客
08-07 161
windows系统设置exe程序开机自启动
zsh 配置 docker 自动补全
翡翠泪滴的博客
08-06 337
在终端中使用 docker 的命令的时候必须要全部手敲,没有提示,于是就在找是否有自动补全的脚本,搜索了一圈踩了一些坑总结了一下具体的步骤。注意这里下载的文件是 _docker 不是 _docker-compose,下错了就还是用不了,好多教程都是下的后者。然后重启 shell 或者 source 一下即可。然后将如下两条命令加到 .zshrc 中去。
vulnstack-4
最新发布
m0_74402888的博客
08-09 837
Tomcat 8.5.19版本,查询了一下,存在CVE-2017-12615任意写入文件漏洞,漏洞本质是Tomcat配置文件/conf/web.xml 配置了可写(readonly=false),导致我们可以往服务器写文件。ubuntu要求两张网卡,一张net网卡,一张内网仅主机网卡。这里的CVE-2019-5736是可以使用的,不过需要另外下载poc,我这里演示另外一种方式,手动挂载宿主磁盘进行ssh登录。CVE-2019-5736的poc用的是go语言,所以使用这个poc还需下载go并配置go。
shell编程:利用SSH实现分布式应用的一键安装部署①(多主机执行指令函数封装、日志输出、关闭防火墙、传输文件函数封装)
m0_60125201的博客
08-08 246
主机执行指令函数封装、日志输出、关闭防火墙、传输文件函数封装
Jenkins部署java项目
iOS逆向与安全
08-06 35
Execute shell: jar包复制。应用场景:测试环境部署API服务。配置service启动文件。maven本地库路径配置。settings 配置。远程执行命令:停止服务。远程FTP上传jar包。远程执行命令:启动服务。Maven 安装配置。
【busybox记录】【shell指令】date
44083579的博客
08-08 484
date指令用法
【busybox记录】【shell指令】groups
44083579的博客
08-07 236
groups指令用法
Mac终端 shell脚本打包iOS,发现没有生成DSYM文件
多分享一点点,共同进步一点点
08-09 93
⚠️ 说明:Xcode项目里的GENERATE_DEBUG_SYMBOLS(True)和 DEBUG_INFORMATION_FORMAT(dwarf-with-dsym)已正确设置的情况下,Mac终端里输入xcodebuild archive 编译出来的archive里,发现dSYMs文件夹里是空的,但是xcode打开该项目,通过xcode工具栏的product->archive编译的archive里dSYMs文件夹却不为空,里面有符号表文件.dSYM。
go在linux上安装
坏蛋阿土的博客
08-09 144
uname -m如果你的系统是 armv7l(32-bit ARM),你需要下载 armv6l 版的Go语言。如果你的系统是 aarch64(64-bit ARM),你需要下载 arm64 版的Go语言。如果你的系统是 x86_64,你需要下载 amd64 版的Go语言。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值