有些时候,服务器需要登录其它服务器执行远程命令,比如说为了安全考虑,公司的activemq服务器是没有外网权限的,但是如果activemq出了故障需要告警,这个时候就需要让activemq的服务器连接到一台有外网权限的服务器上去执行告警的脚本。


遇到这种情况,方法之一就是SSH互信,虽然前期生成指纹麻烦一点,这样以后每次的连接就不用输入密码了,而且这个方法是最安全的!或者使用expect和sshpass这种小工具来达到我们的目的。这里我没有使用expect,因为它里面文件的格式太奇葩了,所以我使用的是sshpass。


sshpass的安装很简单:#yum install -y sshpass

wKioL1m_exjwtHaNAAAyIp92DTg525.png


假设现在有两个服务器,一个A(无外网权限),一个是B(有外网权限),同时这两个机器内网可以互通,现在如果A要连接到B去执行命令,那么在A上执行的命令格式如下:

sshpass -p  B服务器的密码 ssh -o "StrictHostKeyChecking no" -p 端口号 角色名@B服务器的内网IP地址 '具体的shell命令'
sshpass -p  B服务器的密码 ssh -o "StrictHostKeyChecking no" -p 端口号 角色名@B服务器的内网IP地址 '具体的shell命令1 && 具体的shell命令2'

但是这样会在命令行里暴露服务器的密码,所以这个方法很不推荐!


那么现在可以把B服务器的密码写进一个文件里,然后调用这个文件,那么A上执行的命令格式如下:

sshpass -f 密码文件名 ssh -o "StrictHostKeyChecking no" 角色名@B服务器的内网IP地址 '具体的shll命令'

然后再把这个密码文件名访问权限进行设置,注意,sshpass认定密码是这个文件第一行内容!


如果现在是A想在B执行A上的某个脚本,那么在A上执行命令格式如下:

sshpass -f 密码文件名 ssh -o "StrictHostKeyChecking no" 用户名@B服务器的内网IP地址 bash -s < A服务器上的脚本


比如,我在这台叫ttsmq的服务器里写了一个脚本叫test.sh,内容如下:

wKioL1m_fnOzvFJvAAAwSrQf3yU541.png

wKioL1m_gFHggDsfAAApjKCQl_s398.png


然后在这台10.168.74.85机器上查看,效果如下:

wKioL1m_gKLBehWPAACZJXoFlVk457.png


实际工作中的一个小的案例:定期修改服务器(百台左右)密码之后,验证是否修改成功

#cat server_list.cfg
web1
web2
web3


#cat check_passwd.sh

#!/bin/bash
ips=$(cat server_list.cfg)
for ip in $ips
do
        echo ==========$ip===========
        sshpass -p "server_password" ssh root@$ip ":" 
        [ $? -eq 0 ] && echo -e  "\033[32m ==$ip==password is ok... \033[0m" || echo -e "\033[31m ==$ip==Password is error!!! \033[0m"
done


或者也可以将密码存放在一个文件中,然后使用-f 参数来获取密码。


不过sshpass虽然很简单,但是有些地方也是比较受限制的,就像很多高级服务器使用的linux是更改过的,用LDAP账号登陆,那个登陆界面是这样的:

####  LDAP账号登陆时候ssh输出
ssh  -p 22 user@内网IP地址 
Keyboard-interactive:
PAM authentication
Password: 
Keyboard-interactive:
PAM authentication
LDAP Password: 
 
#### 普通的ssh命令输出
ssh user@localhost
user@localhost's password:

遇到这样的格式,sshpass就无效的。


最后的最后,如果您觉得本文对您升职加薪有帮助,那么请不吝赞助之手,刷一下下面的二维码,赞助本人继续写更多的博文!

wKioL1l16m3BMYDKAACPHEqd55Q687.jpg