非交互ssh使用

ssh连接远程主机时候询问密码，跟su、sudo命令的默认行为一样，是不从stdin读入数据的，据称是为安全考虑，但是有时候在脚本当中确实需要无人守值的登陆。

搜索一下不难找到类似的例子，使用expect来完成密码应答：

1 2 3 4 5 6 7 8 9 10

#!/bin/bash auto_login_ssh () { expect -c "set timeout -1; spawn -noecho ssh -o StrictHostKeyChecking=no $2 ${@:3}; expect *assword:*; send -- $1\r; interact;"; }   auto_login_ssh passwd user@host

StrictHostKeyChecking=no参数让ssh默认添加新主机的公钥指纹，也就不会出现出现是否继续yes/no的提示了。

expect很不错，上述代码基本可以达到要求了，能够当翻墙用的ssh -D自动登陆，执行远程命令等等，但是如果作为一个完全非交互的远程工具，应该说还一差，不能返回整个连接执行过程是否成功。

使用expect后，程序的exit status是expect的，而不是ssh的，所以如果遇上连接不到的主机、密码错误等情况，expect也一样是正常退出，$?为0，所以需要对expect的代码稍加修改；

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19

#!/bin/bash auto_smart_ssh () { expect -c "set timeout -1; spawn ssh -o StrictHostKeyChecking=no $2 ${@:3}; expect { *assword:* {send -- $1\r; expect { *denied* {exit 2;} eof } } eof {exit 1;} } " return $? }   auto_smart_ssh passwd user@host ls /var echo -e "\n---Exit Status: $?"

这段expect的Tcl代码我已经尽量弄的好看点了（但还是挺难看），主要作用是，如果在输入密码后遇到Permission denied，肯定是脚本提供的帐号有问题，就直接让expect按状态2退出；而如果主机不可达No route to host, timed out, Connection refused等情况，ssh会直接退出，expect收到eof，让其按状态1退出。而因为这个设计本来就用于执行远程命令后退出，不需要用户交互，所以第9行的eof则是让expect等待ssh退出，而不是不是进行interact了。

有这样的处理，使用auto_smart_ssh的脚本就可以根据返回值判断执行过程的是否成功，而进行相应处理了。

openssh里面另外一个很好用的远程文件传输工具scp，也以如法炮制：

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18

auto_scp () { expect -c "set timeout -1; spawn scp -o StrictHostKeyChecking=no ${@:2}; expect { *assword:* {send -- $1\r; expect { *denied* {exit 1;} eof } } eof {exit 1;} } " return $? }   auto_scp pass ~/myfile user@host:~/path/to/myfile echo $?

---

后话：如果仅仅是日常使用，为了避免经常输入主机密码的麻烦，最理想的方法是生产本机的公/私密钥对，把指纹直接复制到远程主机上，较新的openssh提供了ssh-copy-id工具：

1 2 3 4

ssh-keygen ssh-copy-id user@host1 ssh-copy-id user@host2 ssh-copy-id user@host3

运行ssh-keygen时会问几个问题，全部回车默认就是我们要的效果了，分别把密钥分发到远程主机后，以后执行ssh user@host，还是scp，都是直接完成了。

如果需要删除远程机器上对应本机本账户的密钥，登陆到该账户，打开~/.ssh/authorized_keys文件，搜索你的用户名，删除那行，保存，即可。

当然也可以自动化：

1 2 3 4 5 6 7 8 9

auto_ssh_copy_id () { expect -c "set timeout -1; spawn ssh-copy-id $2; expect { *(yes/no)* {send -- yes\r;exp_continue;} *assword:* {send -- $1\r;exp_continue;} eof {exit 0;} }"; }

sshpass：

Linux中ssh在远程登录中，应该算是出镜率相对比较高的了。今天在写一脚本实现远程登录免输密码的时候，突然发现貌似ssh默认不能进行非交互的操作。然后，在“网”中搜了一下，验证了我的猜想。同时，也得到了用于非交互的工具sshpass。
 

   
            OpenSSH 自带的 ssh 客户端程序（也就是 ’ssh’ 命令）默认不允许你以非交互的方式传递密码，如：

ssh xxx.xxx.xxx.xxx<<EOF
ssh_password
EOF

      Shell 里这样的输入重定向使用得非常普遍，而且通常都工作得很好。但是 ssh不允许这样的方式来传递密码，所以需要远程连上服务器后进行的批处理就无法进行。

sshpass 的出现，解决了这一问题。它允许你用 -p 参数指定明文密码，然后直接登录远程服务器。例如：

# sshpass -p'ssh_password' ssh xxx.xxx.xxx.xxx


用 ‘-p’ 指定了密码后，还需要在后面跟上标准的 ssh 连接命令。

非交互式在远程主机上执行命令或者脚本可以帮助我们快速完成一些任务。比如，在集群
环境中，同时在各个结点上的日志文件中查询特定的关键字。  www.2cto.com  
 

     通过SSH命令远程执行命令首先需要建立相关主机间的信任关系。否则，在执行命令前SSH
命令会提示你输入远程主机的密码，这就产生了系统与人的交互，不利于脚本的自动化。建立
主机间信任关系的方法如下：

 

假设我们有两台主机。主机名分别为linuxa和linuxb。首先在linuxa上以当前用户运行如下命令生成
本主机的公钥和私钥文件：

ssh-keygen -t rsa

     上述命令执行后，隐藏目录~/.ssh下会出现两个文件：idrsa和idrsa.pub。其中，idrsa.pub为
公钥文件。将该文件的内容追加到对端主机linuxb上~/.ssh目录下的authorizedkeys文件中。若该
文件不存在，可自行创建之。下面是一个id_rsa.pub文件示例的文件内容：  www.2cto.com  

ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAtbW/vKjrIkTfFjSJP9FyVb3kQStc31oBuiKVaCZzoejxSM2+
ck6CB09l4BoFujpI0+omL4Nptxk

 

EAgkCGnMco2yXrVSOqhqyaQV2BnDPkyMoEq2MGB9hSc9xQKa+Q== viscent@viscent

 

     接下来，就可以在不输入密码的情况下在远程主机私执行命令了。命令格式如下：

     ssh 远程用户名@远程主机IP地址 ‘远程命令或者脚本’
 

     比如，

    ssh userA@192.168.0.6 'hostname'

    上述命令执行后，终端输出的是对端主机的主机名，而不是你当前登录的主机的主机名。说明
hostname这个命令其实是在对端主机上运行的。

    若要远程执行脚本，只需要将上面的命令的第三个参数改为要执行的远程脚本的文件名全称即可。
比如：  www.2cto.com  

    ssh userA@192.168.0.6 '/home/userA/script/test.sh'

    需要特别注意的是：当远程脚本中使用了一些命令，而这些命令被Shell解析器的识别依赖于
PATH环境变量时，该脚本需要在其第一行中包含执行profile文件的命令。比如，在Bash中，
该脚本的第一行为：

    source ~/.bashrc

    否则，远程脚本可能报一些命令无法找到的错误。