ssh连接远程主机时候询问密码,跟su、sudo命令的默认行为一样,是不从stdin读入数据的,据称是为安全考虑,但是有时候在脚本当中确实需要无人守值的登陆。
搜索一下不难找到类似的例子,使用expect来完成密码应答:
#!/bin/bash
auto_login_ssh () {
expect -c "set timeout -1;
spawn -noecho ssh -o StrictHostKeyChecking=no $2 ${@:3};
expect *assword:*;
send -- $1\r;
interact;";
}
auto_login_ssh passwd user@host
StrictHostKeyChecking=no参数让ssh默认添加新主机的公钥指纹,也就不会出现出现是否继续yes/no的提示了。
expect很不错,上述代码基本可以达到要求了,能够当翻墙用的ssh -D自动登陆,执行远程命令等等,但是如果作为一个完全非交互的远程工具,应该说还一差,不能返回整个连接执行过程是否成功。
使用expect后,程序的exit status是expect的,而不是ssh的,所以如果遇上连接不到的主机、密码错误等情况,expect也一样是正常退出,$?为0,所以需要对expect的代码稍加修改;
#!/bin/bash
auto_smart_ssh () {
expect -c "set timeout -1;
spawn ssh -o StrictHostKeyChecking=no $2 ${@:3};
expect {
*assword:* {send -- $1\r;
expect {
*denied* {exit 2;}
eof
}
}
eof {exit 1;}
}
"
return $?
}
auto_smart_ssh passwd user@host ls /var
echo -e "\n---Exit Status: $?"
这段expect的Tcl代码主要作用是,如果在输入密码后遇到Permission denied,肯定是脚本提供的帐号有问题,就直接让expect按状态2退出;而如果主机不可达No route to host, timed out, Connection refused等情况,ssh会直接退出,expect收到eof,让其按状态1退出。而因为这个设计本来就用于执行远程命令后退出,不需要用户交互,所以第9行的eof则是让expect等待ssh退出,而不是不是进行interact了。
有这样的处理,使用autosmartssh的脚本就可以根据返回值判断执行过程的是否成功,而进行相应处理了。
openssh里面另外一个很好用的远程文件传输工具scp,也以如法炮制:
auto_scp () {
expect -c "set timeout -1;
spawn scp -o StrictHostKeyChecking=no ${@:2};
expect {
*assword:* {send -- $1\r;
expect {
*denied* {exit 1;}
eof
}
}
eof {exit 1;}
}
"
return $?
}
auto_scp pass ~/myfile user@host:~/path/to/myfile
echo $?
后话:
如果仅仅是日常使用,为了避免经常输入主机密码的麻烦,最理想的方法是生产本机的公/私密钥对,把指纹直接复制到远程主机上,较新的openssh提供了ssh-copy-id工具:
ssh-keygen
ssh-copy-id user@host1
ssh-copy-id user@host2
ssh-copy-id user@host3
运行ssh-keygen时会问几个问题,全部回车默认就是我们要的效果了,分别把密钥分发到远程主机后,以后执行ssh user@host,还是scp,都是直接完成了。
如果需要删除远程机器上对应本机本账户的密钥,登陆到该账户,打开~/.ssh/authorized_keys文件,搜索你的用户名,删除那行,保存,即可。
当然也可以自动化:
auto_ssh_copy_id () {
expect -c "set timeout -1;
spawn ssh-copy-id $2;
expect {
*(yes/no)* {send -- yes\r;exp_continue;}
*assword:* {send -- $1\r;exp_continue;}
eof {exit 0;}
}";
}
另外,还有4中常用的命令方式实现免输入密码登录:
1. 自动ssh/scp方法
A为本地主机(即用于控制其他主机的机器) ;
B为远程主机(即被控制的机器Server), 假如ip为192.168.60.110;
A和B的系统都是Linux
在A上运行命令:
# ssh-keygen -t rsa (连续三次回车,即在本地生成了公钥和私钥,不设置密码)
# ssh root@192.168.60.110 “mkdir .ssh” (需要输入密码)
# scp ~/.ssh/id_rsa.pub root@192.168.60.110:.ssh/id_rsa.pub (需要输入密码)
在B上的命令:
# touch /root/.ssh/authorized_keys (如果已经存在这个文件, 跳过这条)
# cat /root/.ssh/id_rsa.pub >> /root/.ssh/authorized_keys (将id_rsa.pub的内容追加到authorized_keys 中)
回到A机器:
# ssh root@192.168.60.110 (不需要密码, 登录成功)
2. 控制n个机器如上所述自动登录
那就需要n对钥匙(密钥和公钥), ssh-keygen 命令可以随意更改钥匙对的名字, 比如:
# ssh-keygen -t rsa
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa): /root/.ssh/id_rsa_192.168.60.110
这样私钥和公钥的名字分别就是: id_rsa_192.168.60.110和 id_rsa_192.168.60.110.pub;然后将 id_rsa_192.168.60.110.pub 文件的内容, 追加到sever的 ~/.ssh/authorized_keys文件中,最后, 在本地用ssh命令的 -i 参数指定本地密钥, 并登录:
# ssh -i /root/.ssh/id_rsa_192.168.60.110 someone@192.168.60.110
scp也是一样的
# scp -i /root/.ssh/id_rsa_192.168.60.110 filename someone@192.168.60.110:/home/someone
在文件.bashrc中加下两行,每次做同样的操作就不用敲入这样长的命令了:
alias sshcell=’ssh -i /root/.ssh/id_rsa_192.168.60.110 someone@192.168.60.110’
alias scpcell=’scp -i /root/.ssh/id_rsa_192.168.60.110 filename someone@192.168.60.110:/home/someone’
这样,直接键入一下指令实现ssh和scp自动登录:
# sshcell
# scpcell
3. 自动ssh/scp脚本
如果需要从A,到B,然后才能够到C,那么需要ssh和scp两次,是比较麻烦的。
ssh自动登录:
#!/usr/bin/expect -f
set timeout 30
spawn ssh weiqiong@B
expect “password:”
send “ppppppr”
expect “]*”
send “ssh weiqiong@Cr”
expect “password:”
send “ppppppr”
interact
scp从A拷贝文件到C:
#!/usr/bin/expect -f
set timeout 300
set file [lindex
a
r
g
v
0
]
s
p
a
w
n
s
c
p
file weiqiong@B:/home/weiqiong
expect “password:”
send “ppppppr”
expect “]*”
spawn ssh weiqiong@B
expect “password:”
send “ppppppr”
expect “]*”
send “scp
file weiqiong@C:/home/weiqiongr”
expect “password:”
send “ppppppr”
expect “]*”
exit
interact
scp从C拷贝文件到A:
#!/usr/bin/expect -f
set timeout 300
set file [lindex
argv 0]
spawn ssh weiqiong@B
expect “password:”
send “ppppppr”
expect “]*”
send “scp weiqiong@C:/home/weiqiong/
f
i
l
e
.
r
”
e
x
p
e
c
t
“
p
a
s
s
w
o
r
d
:
”
s
e
n
d
“
p
p
p
p
p
p
r
”
e
x
p
e
c
t
“
]
∗
”
s
e
n
d
“
e
x
i
t
r
”
e
x
p
e
c
t
“
]
∗
”
s
p
a
w
n
s
c
p
w
e
i
q
i
o
n
g
@
B
:
/
h
o
m
e
/
w
e
i
q
i
o
n
g
/
file .
expect “password:”
send “ppppppr”
interact
4. 建立ssh/scp通道
比如说我的机器是A,中间服务器为B,目标服务器是C
从A可以ssh到B,从B可以ssh到C,但是A不能直接ssh到C
现在展示利用ssh通道技术从A直接传输文件到C
1. ssh -L1234:C:22 userid@B
input B’s password
(1234是本机A的空闲端口,该指令需要A机器上的root用户权限,实际上是在本机1234端口建立了一个通道)
2. 打开一个新的console,键入:
scp -P1234 filename userid@localhost:
input C’s password