shell批量作业时主机用户及密码的加解密处理

最新推荐文章于 2024-01-22 15:07:12 发布
最新推荐文章于 2024-01-22 15:07:12 发布
阅读量477 收藏
点赞数
分类专栏: shell linux 文章标签: shell 批量作业 主机列表 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40809549/article/details/85095691
版权
linux 同时被 2 个专栏收录
45 篇文章 0 订阅
订阅专栏
shell
22 篇文章 0 订阅
订阅专栏

        一般传统的批量作业(比如批量巡检、批量修改、批量配置、批量部署等)采取的是SSH证书免密登录、账号密码交互登录,第三方组件(如python的saltstack、func主受控端模式)等方式实现对远程主机的访问与控制,一旦密码文件泄露或主控主机(主控端)被攻破,则相关主机相当于完全开放,系统将面临极大的危险。

所要解决的技术问题

  1. 解决批量作业过程中,作业主机列表文件密码安全性问题;
  2. 根据作业主机列表文件解码密钥不同,明确具体作业人员;
  3. 依靠不同的作业主机列表文件,实现对作业范围的控制问题。

技术方案

本方法主要分为两个阶段,

与附图对应,描述软件的步骤。

  1. 将包含主机名(或IP)、账号、密码等信息的主机列表文件上传服务器;
  2. 运行脚本,根据提示输入加密密钥;
  3. 读取主机列表文件A,对账号、密码等敏感信息加密,将加密后的主机列表信息写入新的主机列表文件B;
  4. 删除原主机列表文件A;
  5. 批量作业开始,提示输入解密密钥(采用对称加密,解密密钥即加密密钥);
  6. 读取新的主机列表文件B,获取到主机名、用户名密文、密码密文等敏感信息;同时触发邮件通知,告知超级管理员作业人员(根据解密密钥关联明确)、作业主机列表文件、作业脚本类型、作业时间等信息;
  7. 根据操作人员输入的解密密钥对用户名、密码等敏感信息进行解密,获取到相应的敏感信息明文;
  8. 使用主机名(或IP)、用户名、密码明文等敏感信息,结合sshpass交互工具,登录远程主机;
  9. 在远程主机上完成相关作业后返回脚本运行的主机;
  10. 对主机列表文件中下一台主机执行相同作业;
  11. 记录作业日志,批量作业结束

关键技术手段以及对应的有益效果

  1. 利用openssl在base64的应用,采用aes-256-cbc加解密算法结合加密密钥,对主机列表文件中的敏感信息进行加密处理,避免主机信息泄露;
  2. 采用本方法加密的敏感信息密文,每次加密处理后的密文都不同,较好的防范了对密文的暴力破解;
  3. 同一批作业主机列表文件,可针对不同作业人员分配不同的加解密密钥,在作业过程中对解密密钥进行二次加密保存,明确作业人员,便于事故追责;
  4. 批量作业成功触发,即邮件通知超级管理员,告知作业人员、作业范围、作业类型等信息;

对不同作业人员、作业类型,可分配不同的加密后的主机文件列表和解密密钥,实现主机范围和作业人员权限的双重控制。

脚本示例:

#! /bin/bash  
####created by 川中胡子

##加密
encrypt(){
#读取文件中的行  
 cat hosts|while read LINE  
  
  do  
    #将字符串$LINE分割到数组  
    arr=($LINE)  
    num=0 
    # ${arr[@]}存储整个数组      
    for s in ${arr[@]}    
     do  
     if [ $num -eq 0  ];then
       ip=$s
     elif [ $num -eq 1 ];then
       user=$s
     else
       password=$s 
     fi
     let num++
     done  
    enc_user=`echo ${user}|openssl aes-256-cbc -k ${enc_key} -base64`
    enc_pwd=`echo ${password}|openssl aes-256-cbc -k ${enc_key} -base64`
    echo "${ip};${enc_user};${enc_pwd}" >>hosts.enc
  done   
}

##解密
decrypt(){
 #清空原解密主机列表文件
 >hosts.dec
 #读取文件中的行  
 cat hosts.enc|while read LINE  
  do  
    #将字符串$LINE分割到数组  
    arr=($LINE)  
    num=0 
    # ${arr[@]}存储整个数组      
    for s in ${arr[@]}    
     do  
     if [ $num -eq 0  ];then
       ip=$s
     elif [ $num -eq 1 ];then
       enc_user=$s
     else
       enc_pwd=$s 
     fi
     let num++
     done
    user=`echo ${enc_user}|openssl aes-256-cbc -d -k ${enc_key} -base64`
    password=`echo ${enc_pwd}|openssl aes-256-cbc -d -k ${enc_key} -base64`
    echo "${ip};${user};${password}" >>hosts.dec
  done
}

main(){
  #备份IFS
  OLD_IFS="$IFS"

  #设置新的分隔符为;
  IFS=";"

    read -p "Please Input the encrypt key:" enc_key
    if [ "$1" == "enc" -o ! -n "$1" ];then
      encrypt;
      read -p "Encrypt success,will delete hosts,Y or N:" del_confirm
      if [ `expr match $del_confirm "[Yy]"` -ne 0 ];then
        rm -f hosts
      elif [ `expr match $del_confirm "[N|n]"` -ne 0 ];then
        echo "You'd better delete the host list file:hosts!"
      else
        echo "Error input,You'd better delete the host list file:hosts!"
      fi
    elif [ "$1" == "dec" ];then
      decrypt;
    else
      echo "Error input,You'd better input 'enc' or 'dec',no input means encrypt!"
    fi
    
  #恢复IFS
  IFS="$OLD_IFS"
}

main $1 

 

 

川中胡子
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linux-在shell脚本中使用加密密码的轻量级解决方案
08-13
shell脚本中使用加密密码的轻量级解决方案
批量配置免密登录
01-09
本文将详细介绍如何实现这一功能,主要涉及SSH(Secure Shell)协议、公钥认证以及如何编写脚本进行自动化处理。 首先,我们需要了解SSH的基本原理。SSH是一种网络协议,用于安全地远程登录到另一台计算机,常用于...
Linux shell加密解密
小小小小小真的博客
03-24 3652
利用openssl命令进行AES/DES3加密解密(AES/DES3 encrypt/decrypt)一. 利用openssl命令进行BASE64编码解码(base64 encode/decode)
linux密码解码方式,Linux shell加密解密方法(gzexe、shc)
weixin_31545945的博客
05-02 2187
我们写的shell脚本里面通常会包含帐号密码等信息或者你不想让别人看到的信息,那么把写好的shell脚本进行简单的加密显得有些必要了。常用的shell加密方法有两种,一种是通过gzexe加密,另一种是通过shc加密。gzexe是用来压缩执行文件的程序。当您去执行被压缩过的执行文件,该文件会自动解压然后继续执行,和使用一般的执行文件相同。shc是一个专业的加密shell脚本的工具.它的作用是把sh...
解密加密的shell
weixin_44012730的博客
01-05 138
tail -n +44 dof > a.gz # 我们把第44行以后的文件写成一个.gz结尾的压缩文件 gunzip a.gz # 解压生成的文件
Linux-编写SHELL 加密解密方法
qq_38522411的博客
11-22 3718
Linux-编写SHELL 加密解密方法 我们在编写SHELL脚本,有候需要填写密码到脚本里,比如mysql备份脚本,这我们就需要一个脚本加密解密的方法了,我使用GO语音执行Linux命令加密解密。脚本调用go脚本。 一. 使用bash64 加密 解密 1.加密 [root@izbp14ot0ykf8wyktz0kwgz ~]# echo "我是密码" | base64 2.解密 ...
SpiceVM:SpiceVM的源代码和VM
03-14
这个项目源自QEMU,一个流行的全虚拟化解决方案,为用户提供了一种在宿主机上模拟完整硬件环境的方式来运行各种操作系统。SpiceVM不仅关注性能,还强调用户体验,包括高清视频播放、音频流和触摸设备的支持。 **二...
mussh-pssh合集.rar
08-18
它们都支持自定义主机列表、命令参数以及错误处理策略,使得运维工作更加高效和便捷。在使用,你需要先根据提供的压缩文件(pssh-2.3.1.tar.gz和mussh-1.0.zip)进行安装,通常包括解压、编译(如果需要)、配置...
SSH工作原理及为什么要用?
08-10
SSH(Secure Shell)是一种网络协议,用于在不安全的网络上提供安全的远程登录和其他服务。这个缩写在IT行业中通常指的是Spring、Struts和Hibernate这三个Java开发中的框架,它们分别负责控制层、表现层和数据持久化...
linux SSh工具
12-13
连接,服务器用公钥加密随机挑战,客户端使用私钥解密,证明拥有私钥,从而完成认证。 3. **telnet与SSH的区别**: telnet是一个早期的远程登录协议,传输数据未加密,存在被窃听的风险。而SSH通过加密通信,提供...
批量MD5密码在线破解破解脚本
05-05
使用方法: 1:准备原始的MD5密码,每行一个密码,放到pass.txt中 2:将pass.txt与md5_py.py放置在同一个目录 3:命令行中执行md5_py.py (或者 c:\python3\python.exe md5_py.py) 结果自动生成到passmd5.txt 使用了http://md5.qshare.cn/的接口
Linux用shell脚本批量生成用户组和密码
06-11
通过循环输出语句构造用户信息文件和密码信息文件,然后直接应用newusers命令批量建立用户,用chpasswd命令批量设置初始密码。 关键技术:用echo命令和重定向输出构造用户信息文件和密码信息文件。 echo “$uname:x:$udi:$gid: :/home/$uname:/bin/bash”>>user.txt echo “$uname:stu123”>>usrpw.txt
Linux shell加密解密方法(gzexe、shc)
tiging的博客
07-17 9125
一、系统自带gzexe gzexe无需安装任何软件,是linux自带的功能,只需要执行命令即可,我们可以利用wget将文件放在root目录下,也可以通过sftp放在root目录,也可以直接利用cd命令选择任意目录 加密方法 假如说我们当前目录下有个脚本名字叫test.sh 那我们就执行下面的方法进行加密 gzexe test.sh 此在目录下就会产生一个test.sh~文件,改文件是源文件,test.sh是加密后的文件 (注意:执行加密的文件跟执行源文件没有区别) 解密方法 假如说我们这个脚
SHELL脚本加密与解密
最新发布
weixin_44218366的博客
01-22 2724
bash unshc.sh 需要解密的sh.x文件 -o 新生成的文件。test.sh.x 二进制可执行文件,用cat查看会是一堆乱码。test.sh.x.c 生成的C源码,可以删除。shc -r -f 需要加密的sh脚本。把下列内容复制到sh文件,直接执行即可。-r 制作可执行的二进制文件。-f 要编译的脚本的文件名。test.sh 原始文件。
RSA加密解密(一)——用shell加密java解密
春季觉醒的博客
12-30 657
使用shell opensll对明文进行RSA加密,将密文用java的RSA工具对密文解密。这应该是全网第一个同用到shell和java的RSA加密解密教程。下图是运行结果,如果不在 echo $encrypted_data 后面加 |base64,就会出现乱码的输出,但这并不是错误。在这个过程中生成了pkcs8、private_key.pem、 public_key.pem三个文件。(2)生成私钥,1024为私钥长度。(3)将私钥以pkcs8的格式存储。(1)每次生成的密文都不一样。
Shell实操(二):批量创建用户并设置密码
huss's blog
11-23 709
批量创建用户并设置密码
Shell中的tr命令加密解密中的一个小应用
杰瑞的专栏
12-25 1046
tr命令可以来删除或替换,这个可能大家都非常熟悉。比如 [root@localhost ~]# echo "The Number:12345" | tr -cd '[0-9]' # 仅保留数字 12345 [root@localhost ~]# echo "Tom" | tr '[a-z]' '[A-Z]' # 转变为大写 TOM 上面的方法也许是tr命令中最常用的,但...
Shell文件加解密
u013982921的专栏
09-27 5268
shell脚本文件加解密以及使用
[ZT]读取密码shell实例
zcjl的专栏
03-23 251
#!/bin/bash ReadPassword(){ #turn off terminal echo to prevent peeping! echo -n ">>> "$1 stty_orig=`stty -g` stty -echo read tempstr stty $stt...
批量查询linux主机用户密码是否过期的shell脚本,除了root用户
05-20
以下是一个简单的 shell 脚本,可以批量查询 Linux 主机中非 root 用户密码是否过期: ```sh #!/bin/bash # 定义需要查询的主机列表 HOSTS=("host1" "host2" "host3") # 定义需要查询的用户列表 USERS=("user1" "user2" "user3") # 循环遍历主机用户列表,进行查询 for host in "${HOSTS[@]}" do for user in "${USERS[@]}" do # 获取用户密码过期间 password_expiry=$(ssh $host chage -l $user | grep "Password expires" | awk '{print $4}') # 判断密码过期间是否为空,如果为空则表示用户不存在 if [[ -z "$password_expiry" ]]; then echo "$user does not exist on $host" else # 获取当前间和密码过期间的间戳 current_timestamp=$(date +%s) expiry_timestamp=$(date -d "$password_expiry" +%s) # 计算距离密码过期的天数 days_left=$((($expiry_timestamp - $current_timestamp)/(60*60*24))) # 判断距离密码过期的天数是否小于等于7天,如果是则输出警告信息 if [[ $days_left -le 7 ]]; then echo "WARNING: $user's password on $host will expire in $days_left days." else echo "$user's password on $host is valid for another $days_left days." fi fi done done ``` 在使用该脚本之前,请确保在每台主机上已经配置了 SSH 公钥认证,且当前用户具有对目标主机的访问权限。另外,为了保证脚本的安全性,建议将需要查询的主机用户列表存储在一个配置文件中,并使用 `source` 命令导入到脚本中,避免直接在脚本中存储敏感信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值