ssh免密登录实现及Python实现
需求
为了保证一台Linux主机的安全,所以我们每个主机登录的时候一般我们都设置账号密码登录。但是很多时候为了操作方便,我们都通过设置SSH免密码登录。
在这里我对本地机器Cloud10和目标机器Cloud11、Cloud12进行免密登录
大致的三步
1.本地机器生成公私钥
2.上传公钥到目标机器
3.测试免密登录
具体操作
1.准备工作
- 使用root权限分别修改每台机器的hosts,添加每台机器所对应的IP和主机名(我这里分布式集群是3台机器组成的,所以配置3台,习惯将自己的ip和主机名放在第一行)
sudo vim /etc/hosts
删除文件里内容后添加如下内容 
- 查看本地机器的隐藏文件.ssh
- ll -a
2.在本地机器用 ssh-keygen -t rsa 生成一个公私钥对
- 在ssh目录下进行,输入三个回车
- 进入 .ssh目录 cd .ssh/
- 发起公钥 请求 ssh-keygen -t rsa
在 .ssh/ 目录下,会新生成两个文件: id_rsa (私钥) id_rsa.pub(公钥)
3.上传公钥到目标机器
ssh-copy-id -i ~/root/.ssh/id_rsa.pub 20.200.20.20(目标主机ip地址)
ssh-copy-id -i root@20.200.20.20
注意:(@前边是接受公钥机器的用户名,后边是接受放的ip,因为配置了映射所以ip可以用主机名代替)】
查看远程从节点主机上是否接收到 authorized_keys文件
这个时候 Cloud10的公钥文件内容会追加写入Cloud11的 .ssh/authorized_keys文件中
文件中查看Cloud11下的authorized_keys文件与Cloud10下的id_rsa.pub中内容是一样的,如下图所示
重启SSH服务命令使其生效(3台机器都要重启)
sudo service shhd restart
另外我们要注意:
.ssh 目录的权限为700,其下文件authorized_keys和私钥的权限为600,否则会因为权限问题导致无法免密登录。我们可以看到登录后会生成 known_hosts文件生成
chomd -R 700 .ssh/
sudo chomd 600 .ssh/authorized_keys
4.测试免密登录
使用IP 免密登录(用户名相同时,ssh+主机名;如果不同,登录方式就是 ssh + 用户名@ip地址)
ssh Cloud10
ssh Cloud11
ssh Cloud12
退出免密登录
exit
注意事项
- 免密码登录的处理是用户对用户的,切换其他用户后,仍然需要输入密码
- 远程机器的.ssh目录需要700权限,authorized_keys文件需要600权限
否则配置是不成功的(每次登录都得重新去输入密码的)
上面只是对 ssh的基本操作,在Linux上实现,那么我们要批量实现ssh免密登录呢?下面介绍下使用 Python脚本实现免密登录的过程。
import argparse import collections import subprocess import os from datetime import datetime from fabric import Connection from invoke import Responder # 存放目标服务器的密码 HOST_PASSWDS = ['xxxx1','xxxx2','xxxx3'] # 存放错误信息的csv文件 FILE_NAME = 'ssh_test_{}_error.scv'.format(datetime.now().strftime('%Y-%m-%d %H:%M:%S')) # 全局变量,我这使用的是 命名元祖 HOST_RESULT = collections.namedtuple('Host',['ip','passwd']) def logging_error(msg): ''' 记录错误信息的函数 :param msg: 错误信息 :return: ''' base_dir = os.getcwd() full_filename = os.path.join(base_dir,FILE_NAME) command = "echo '{}' >> {} ".format(msg,full_filename) subprocess.check_call(command,shell=True) def ssh_connect(ip,user='root',passwd=None,try_passwd=False): ''' 使用 ssh 连接服务器 :param ip: 目标服务器的ip地址 :param user: 一般ssh免密登录使用的是 root 用户 :param passwd: 目标服务器的密码,我们统一放入列表中 :param try_passwd: True or False :return: ''' if passwd: try: host = Connection(ip,user=user,connect_kwargs={'password':passwd,'timeout':30}) host.run('ls',hide=True,warn=True) if host.is_connected: return host except Exception as e: return e # 测试密码 if try_passwd: for passwd in HOST_PASSWDS: try: host = Connection(ip,user=user,connect_kwargs={'password':passwd}) host.run('ls',hide=True,warn=True) if host.is_connected: return host except Exception as e: return False def check_host_passwd(iplist): ''' 检测密码是否可用 :param iplist: ip列表 :return: 存放ip和passwd的列表 ''' host_list = [] for ip in iplist: host = ssh_connect(ip,try_passwd=True) if not host: msg = "{} - 登录失败!".format(ip) logging_error(msg) continue host_info = HOST_RESULT(ip=ip,passwd=host.connect_kwargs.get('password')) host_list.append(host_info) return host_list def gen_master_ssh_key(master_node): '''生成秘钥 :param master_node: 主服务器的ip和密码组成的元祖类型 :return: ''' host = ssh_connect(master_node.ip,passwd=master_node.passwd) if not host: return False,"{}.master主机登录失败".format(master_node.ip) # 启动ssh服务 host.run('service sshd start',hide=True,warn=True) command = 'find /root.ssh/ -name "id_rsa.pub"' # 执行 Linux命令,判断是否存在 id_rsa.pub文件 result = host.run(command,hide=True,warn=True) if len(result.stdout.strip()) == 0: id_rsa = Responder( pattern = r'/root/.ssh/id_rsa', response = '\r\n' ) passphrase = Responder( pattern = r'passphrase', response = '\r\n' ) yes = Responder( pattern = r'(y/n)', response = 'y\n' ) # 执行Linux 的 生成秘钥的命令 result = host.run('ssh-keygen -t rsa',hide=True,warn=True,watchers=[id_rsa,passphrase,yes],timeout=10) if not result.ok: return False,"{}-生成ssh证书失败".format(master_node.ip) # print "[info]ip:{}-生成证书文件成功".format(master_node.ip) # else: # print "[info] {} - master证书存在,不需要生成".format(master_node.ip) host.close() return True,'生成证书完成' def ssh_test_to_other(master,node_list): ''' 把生成的证书分发给下面的免密的服务器 :param master: 主服务器 元祖 :param node_list: 节点列表 :return: ''' host = ssh_connect(master.ip,passwd=master.passwd) if not host: return False,'{} - master 登录失败'.format(master.ip) for node in node_list: passwd = Responder( pattern=r'[Pp]assword:', response = node.passwd + '\n' ) yes = Responder( pattern = r'(yes/no)', response = 'yes\n' ) # 清除 known_hosts文件 clean_command = "ssh-keygen -f '/root/.ssh/known_hosts' -R {}".format(node.ip) result = host.run(clean_command,hide=True,warn=True,timeout=30) if result.ok: return 'known_hosts 记录清理' else: return 'konwn_hosts 无需清理' # 分发证书的 Linux命令 scp_crt_command = 'ssh-copy-id -i /root/.ssh/id_rsa.pub {}'.format(node.ip) try: result = host.run(scp_crt_command,watchers=[passwd,yes],hide=True,warn=True,timeout=20) if result.ok: return '{} - 证书分发- {} - 成功'.format(master.ip,node.ip) else: msg = '{} - 证书分发- {} - 不成功'.format(master.ip,node.ip) logging_error(msg) except Exception as e: msg = '{} - 证书分发- {} - 成功 {}'.format(master.ip,node.ip,e.message) logging_error(msg) return True,'' # 参数解析 def parser_cla(): ''' 对传入 Python脚本的参数做解析 :return: ''' parse = argparse.ArgumentParser() # 传入的服务器的ip/passwd 的格式,主服务器的ip和密码 parse.add_argument('-m','--master',help='this ip of master usage:ip/passwd') # 节点服务器的ip,用逗号分隔开,可以是单个ip,也可以是多个ip parse.add_argument('-s','--nodes',help='this ip of node multiple host split by “,”') # 节点文件。可以把多个ip放入文件内,脚本自动读取文件 parse.add_argument('-f','--nodefile',help='the full path of node file like /tmp/node.txt') # 测试 节点是否可以免密登录的参数 parse.add_argument('-c','--check',action='store_true',help='check the nodes is can be ssh login') # 密码的参数,是节点服务器的密码,可以不输入,默认使用 HOST_PASSWD中的密码 parse.add_argument('-p','--passwd',help='add other passwd for nodes') args = parse.parse_args() return args def check_ssh_login(master,nodes): ''' 测试免密登录是否实现的函数 :param master: 主服务器 :param nodes: 节点服务器 :return: ''' # 主服务器的连接 host = ssh_connect(master.ip,passwd=master.passwd) if not host: return False,'{} - master 登录失败'.format(master.ip) # 遍历节点服务器列表,对每一个ip进行测试 for node in nodes: ssh_command = 'ssh {} echo "ok" '.format(node) try: result = host.run(ssh_command,pty=True,hide=True,warn=True,timeout=5) if result.ok: return True,'{} 登录{}成功'.format(master.ip,node) else: msg = '{} 登录{}失败--{}'.format(master.ip,node,result.stdout) logging_error(msg) except Exception as e: msg = '{} - master登录{} 失败--{}'.format(master.ip,node,e) logging_error(msg) return True,'' def main(): ''' 运行函数 :return: ''' # 存放节点服务器的列表 nodelist = [] # 对参数的解析 args = parser_cla() # 有主服务器,需指定主服务器的格式 if args.master: try: master_ip,master_passwd = args.master.split('/') except Exception as e: # print '输入指定格式 --master master_ip/passwd' return False # print 'master:{},passwd{}'.format(master_ip,master_passwd) master_node = HOST_RESULT(ip=master_ip,passwd=master_passwd) else: # print '需指定master主机 --master_ip/passwd' return False #对传入节点服务器ip进行分割 if args.nodes: nodelist = args.nodes.split(',') # print 'nodes:{}'.format(nodelist) # 对节点服务器文件的处理 if args.nodefile: file_name = args.nodefile base_dir = os.getcwd() full_path = os.path.join(base_dir,file_name) with open(full_path,'r')as f: nodelist = [ip.strip() for ip in f.readline()] # print 'nodes:{}'.format(nodelist) # 没有节点 和 节点文件传入,做出的处理 if not args.nodes and not args.nodefile: # print '需指定分发证书节点 --nodes or --nodefile' return False # 对参数密码的处理,可以输入多个密码,逗号分割 if args.passwd: passwds = args.passwd.split(',') for i in passwds: HOST_PASSWDS.insert(0,i) #进行测试 if args.check: # 检查证书是否可用 check_ssh_login(master_node,nodelist) return # 登录主机生成秘钥,获取密码 node_result = check_host_passwd(nodelist) if len(node_result) == 0: # print '无可用节点' return False status,msg = gen_master_ssh_key(master_node) if not status: logging_error(msg) # 分发所有master主机证书到node ssh_test_to_other(master_node,node_result) if __name__ == '__main__': main()
