Shell脚本系列｜ SSH分发公钥方法 - expect脚本的使用

ssh原理：在SSH安全协议的原理中， 是一种非对称加密与对称加密算法的结合。用于确保远程登录和其他网络服务的会话安全，通过非对称加密、会话加密、多重验证机制等手段，保护数据传输的机密性和完整性。
ssh登录有2种方法：账号密码登录和公钥登录

一、帐号密码登录

没办法公证，不像https有CA证书公证。

1.服务端收到登录请求后，首先互换公钥。
2.客户端用服务端的公钥加密账号密码并发送
3.服务端用自己的秘钥解密后得到账号密码，然后进行验证
4.服务端用客户端的公钥加密验证结果并返回
5.客户端用自己的秘钥解密后得到验证结果

二、ssh免密码登录

利用公钥登录

步骤：

1.客户端用户必须手动地将自己的公钥添加到服务器一个名叫authorized_keys的文件里，顾名思义，这个文件保存了所有可以远程登录的机器的公钥。

2.客户端发起登录请求，并且发送一个自己公钥的指纹（具有唯一性，但不是公钥）

3.服务端根据指纹检测此公钥是否保存在authorized_keys中

4.若存在，服务端便生成一段随机字符串，然后利用客户端公钥加密并返回

5.客户端收到后用自己的私钥解密，再利用服务端公钥加密后发回

6.服务端收到后用自己的私钥解密，如果为同一字符串，则验证通过

三、分发密钥方法

1）ssh分发

ssh-keygen --help

-t type：指定密钥类型，包括“dsa”, “ecdsa” or “rsa”
-p(小) ：更改私钥的密码。程序会提示输入私钥的密码以及2次新密码
-P(大)：提供私钥的旧密码。
-N：提供私钥的新密码
-f ：指定密钥文件的文件名
-b：指定密钥长度
-e：读取openssh的私钥或者公钥文件

ssh-copy-id命令：

ssh-copy-id [-i [identity_file]] [user@]machine
选项：-i 指定要分发的公钥

2 ) 使用expect解决交互式分发

expect脚本中常见命令：spawn, expect, send, interact…

spawn打开一个进程

expect该命令从进程接受字符串，如果接受的字符串和期待的字符串不匹配，则一直阻塞，直到匹配上或者等待超时才继续往下执行
expect会等待特定的输出（如"password:"），然后发送相应的响应（如密码）。

send向进程发送字符串，与手动输入内容等效，通常字符串需要以’\r’结尾

expect{"匹配字符" send {"需要发送的"} 
"匹配字符"send{"需要发送的字符"}}
或者
expect "匹配字符" 
send "发送字符\r"

interact该命令将控制权交给控制台，之后就可以进行人工操作了。通常用于使用脚本进行自动化登录之后再手动执行某些命令。如果脚本中没有这一条语句，脚本执行完将自动退出。

set timeout 30 设置超时时间timeout为30s，expect命令阻塞超时时会自动往下继续执行。将timeout配置为-1时表示expect一直阻塞直到与期待的字符串匹配上才继续往下执行。超时时间timeout默认为10s

[lindex $argv n]可以在脚本中使用该命令获取在脚本执行时传入的第n-1个参数。argv为传入的参数，另外argc表示传入参数的个数，n是从0开始，表示第一个参数…n=1表示第二个参数

exp_continue：继续执行下面匹配

\r：linux下的回车（Enter键）
安装

yum -y install expect

expect脚本:

[root@localhost ~]# vi ssh.exp
[root@localhost ~]# cat ssh.exp 
#!/usr/bin/expect

set timeout 30
set ip [lindex $argv 0]                    #第1个参数，编号是0
set password [lindex $argv 1]              #第2个参数，编号是1  

spawn ssh-copy-id -i /root/.ssh/id_dsa.pub root@$ip
expect {
         "(yes/no)?"  {send "yes\r";exp_continue}
         "password:" {send "$password\r"}
}
expect eof

expect /server/script/ssh_expect.exp 192.168.200.10 000000    
#192是第1个参数，编号是0 000000是第2个参数，编号是1

实现自动分发，无需手动输入ip及密码，将expect程序嵌套在shell脚本 :

[root@localhost ~]# cat autossh.sh 
#!/bin/bash
#########################1.创建密钥##################
. /etc/init.d/functions   # 注意. /之间是有空格的，不然就变成"当前目录"的"."了
#/etc/init.d/functions 是一个包含了一系列用于初始化脚本（init scripts）的函数的库文件
#点号（.）是source命令的简写，用于在当前shell环境中执行脚本，而不是创建一个新的子shell 
  if [ ! -e "/root/.ssh/id_dsa.pub" ];then 
    ssh-keygen -t dsa -P '' -f /root/.ssh/id_dsa >/dev/null 2>&1
    if [ $? -eq 0 ];then
             action "创建密钥成功" /bin/true
    else
            action "创建密钥失败" /bin/false
            exit 0
    fi
  else
    action "密钥已存在" /bin/true
  fi
######################2.分发密钥####################
for ip in 10.10.102.{129..180}  #是一个 Bash 的大括号扩展。它会生成一个序列，从 129 到 180。
do
/usr/bin/expect << EOF > /dev/null 2>&1
spawn ssh-copy-id -i /root/.ssh/id_dsa.pub -p22 $ip
expect {
        "yes/no" {send "yes\r";exp_continue}
        "password" {send "000000\r"}
}
expect eof
EOF
if [ $? -eq 0 ];then
        action "$ip分发密钥完成" /bin/true
else
        action "$ip分发密钥失败" /bin/false
fi
done