2. 程式人生 > >批量實現多臺服務器之間ssh無密碼登錄的相互信任關系

批量實現多臺服務器之間ssh無密碼登錄的相互信任關系

阿新 發佈:2018-05-20
rip 情況下 它的 文件拷貝 遠程機器 列表 ln -s file not in

最近IDC上架了一批hadoop大數據業務服務器,由於集群環境需要在這些服務器之間實現ssh無密碼登錄的相互信任關系具體的實現思路:在其中的任一臺服務器上通過"ssh-keygen -t rsa"產生公私鑰文件,然後將公鑰文件拷貝成authorized_keys文件,最後將它的.ssh目錄下的文件全部批量拷貝到其他服務器的/root/.ssh目錄(即當前用戶家目錄的.ssh)下即可。這批hadoop服務器的ssh端口默認都是22,密碼默認都是kevin123456,ip列表如下:

192.168.10.202
192.168.10.203
192.168.10.205
192.168.10.206
192.168.10.207
192.168.10.208

註意:批量部署信任關系後,目標機器的公私鑰文件id_rsa和id_rsa.pub會被覆蓋,但是authorized_keys文件不會被覆蓋,只會進行新內容追加,所以如果目標機器之前做了別的信任關系,在新的信任關系做好後,老的信任關系不會丟失。

1)方法一(適用於機器數量不算多的情況下)

首先在其中任一臺服務器,如192.168.10.202上生產公私鑰文件:
[root@server-202 ~]# ssh-keygen -t rsa
[root@server-202 ~]# ls /root/.ssh/
id_rsa  id_rsa.pub
[root@server-202 ~]# cp /root/.ssh/id_rsa.pub /root/.ssh/authorized_keys
[root@server-202 ~]# ls /root/.ssh/
authorized_keys  id_rsa  id_rsa.pub
[root@server-202 ~]# vim /root/hosts
192.168.10.202
192.168.10.203
192.168.10.205
192.168.10.206
192.168.10.207
192.168.10.208
[root@server-202 ~]# for i in `cat /root/hosts`;do rsync -e "ssh -p22" -avpgolr /root/.ssh root@$i:/root/;done
執行該命令後,需要多次手動輸入密碼

執行後,這些機器之間就可以通過ssh密碼登錄了,即實現了相互信任關系。檢查下這些機器的/root/.ssh目錄,發現他們的公私鑰文件都是192.168.10.202這臺機器的。
該種方法僅適用於少數服務器的情況,因為涉及到中途人工交互(輸入密碼等),如果服務器數量眾多的情況下,適用這種方式就比較傻X了,這就需要用到下面這種方法。

2)方法二(使用expect工具,適用於機器數量眾多的情況下)
expect是交互性很強的腳本語言,可以幫助運維人員實現批量管理成千上百臺服務器操作,是一款很實用的批量部署工具!expect依賴於tcl,而linux系統裏一般不自帶安裝tcl,所以需要手動安裝。選擇其中的任意一臺服務器上操作,比如這裏還是選擇192.168.10.202這臺機器。expect-5.43.0.tar和tcl8.4.11-src.tar的下載地址:https://pan.baidu.com/s/1kVyeLt9 提取密碼:af9p

將expect和tcl的軟件包下載放到/usr/local/src目錄下,解壓tcl,進入tcl解壓目錄,然後進入unix目錄進行編譯安裝
[root@server-202 ~]# cd /usr/local/src/
[root@server-202 src]# tar -zvxf tcl8.4.11-src.tar.gz
[root@server-202 src]# cd tcl8.4.11/unix
[root@server-202 unix]# ./configure
[root@server-202 unix]# make && make install
 
安裝expect
[root@server-202 src]# tar -zvxf expect-5.43.0.tar.gz
[root@server-202 src]# cd expect-5.43.0
[root@server-202 expect-5.43.0]# ./configure --with-tclinclude=/usr/local/src/tcl8.4.11/generic --with-tclconfig=/usr/local/lib/
[root@server-202 expect-5.43.0]# make && make install
 
安裝完成後進行測試
[root@server-202 ~]# expect
expect1.1>
 
[root@server-202 ~]# which expect
/usr/local/bin/expect
 
做個expect執行文件的軟件
[root@server-202 ~]# ln -s /usr/local/bin/expect /usr/bin/expect
[root@server-202 ~]# ll /usr/bin/expect
 
批量實現信任關系的腳本如下:
[root@server-202 ~]# vim /opt/ssh_auth.sh
#!/bin/sh 
DEST_USER=$1 
PASSWORD=$2 
HOSTS_FILE=$3 
if [ $# -ne 3 ]; then 
    echo "Usage:" 
    echo "$0 remoteUser remotePassword hostsFile" 
    exit 1 
fi 
   
SSH_DIR=~/.ssh 
SCRIPT_PREFIX=./tmp 
echo =========================== 
 
# 1. prepare  directory .ssh 
mkdir $SSH_DIR 
chmod 700 $SSH_DIR 
   
# 2. generat ssh key 
TMP_SCRIPT=$SCRIPT_PREFIX.sh 
echo  "#!/usr/bin/expect">$TMP_SCRIPT 
echo  "spawn ssh-keygen -b 1024 -t rsa">>$TMP_SCRIPT 
echo  "expect *key*">>$TMP_SCRIPT 
echo  "send \r">>$TMP_SCRIPT 
if [ -f $SSH_DIR/id_rsa ]; then 
    echo  "expect *verwrite*">>$TMP_SCRIPT 
    echo  "send y\r">>$TMP_SCRIPT 
fi 
echo  "expect *passphrase*">>$TMP_SCRIPT 
echo  "send \r">>$TMP_SCRIPT 
echo  "expect *again:">>$TMP_SCRIPT 
echo  "send \r">>$TMP_SCRIPT 
echo  "interact">>$TMP_SCRIPT 
   
chmod +x $TMP_SCRIPT 
   
/usr/bin/expect $TMP_SCRIPT 
rm $TMP_SCRIPT 
   
# 3. generat file authorized_keys 
cat $SSH_DIR/id_rsa.pub>>$SSH_DIR/authorized_keys 
   
# 4. chmod 600 for file authorized_keys 
chmod 600 $SSH_DIR/authorized_keys 
echo =========================== 
 
# 5. copy all files to other hosts 
for ip in $(cat $HOSTS_FILE)   
do 
    if [ "x$ip" != "x" ]; then 
        echo ------------------------- 
        TMP_SCRIPT=${SCRIPT_PREFIX}.$ip.sh 
        # check known_hosts 
        val=`ssh-keygen -F $ip` 
        if [ "x$val" == "x" ]; then 
            echo "$ip not in $SSH_DIR/known_hosts, need to add" 
            val=`ssh-keyscan $ip 2>/dev/null` 
            if [ "x$val" == "x" ]; then 
                echo "ssh-keyscan $ip failed!" 
            else 
                echo $val>>$SSH_DIR/known_hosts 
            fi 
        fi 
        echo "copy $SSH_DIR to $ip" 
                   
        echo  "#!/usr/bin/expect">$TMP_SCRIPT 
        echo  "spawn scp -r  $SSH_DIR $DEST_USER@$ip:~/">>$TMP_SCRIPT 
        echo  "expect *assword*">>$TMP_SCRIPT 
        echo  "send $PASSWORD\r">>$TMP_SCRIPT 
        echo  "interact">>$TMP_SCRIPT 
           
        chmod +x $TMP_SCRIPT 
        #echo "/usr/bin/expect $TMP_SCRIPT" >$TMP_SCRIPT.do 
        #sh $TMP_SCRIPT.do& 
       
        /usr/bin/expect $TMP_SCRIPT 
        rm $TMP_SCRIPT 
        echo "copy done."                 
    fi 
done 
   
echo done.
 
 
在上面腳本文件的同目錄下新建名為host的文件,將要建立ssh互信的機器名或ip地址添加到該文件中,每個機器名或ip占一行,如:
[root@server-202 ~]# vim /opt/host
192.168.10.202
192.168.10.203
192.168.10.205
192.168.10.206
192.168.10.207
192.168.10.208
 
最後就可以運行這個腳本ssh_auth.sh文件,ssh_auth.sh接受三個參數,遠程機器用戶名、密碼和host文件名(相對路徑或絕對路徑均可)。
[root@server-202 ~]# sh /opt/ssh_auth.sh root kevin123456 /opt/host
 
然後查看下其他服務器,發現.ssh目錄下的文件和192.168.10.202機器的.ssh目錄下的文件一致。
最後就可以在這些機器之間進行相互信任的ssh無密碼跳轉登錄了!
 
==========================================================================
註意:上面腳本針對的是服務器ssh端口是22的情況,如果ssh是非22端口,比如是22222端口。
則只需要在ssh_auth.sh腳本中修改下面兩行內容:
[root@server-202 ~]# cp /opt/ssh_auth.sh /opt/ssh_auth.sh.bak
[root@server-202 ~]# vim /opt/ssh_auth.sh              #註意下面一個小寫p,一個大寫P
.......
val=`ssh-keyscan $ip 2>/dev/null`
修改為
val=`ssh-keyscan -p 22222 $ip 2>/dev/null`
.......
echo  "spawn scp -r  $SSH_DIR $DEST_USER@$ip:~/">>$TMP_SCRIPT
修改為
echo  "spawn scp -P 22222 -r  $SSH_DIR $DEST_USER@$ip:~/">>$TMP_SCRIPT
 
[root@server-202 ~]# diff /opt/ssh_auth.sh /opt/ssh_auth.sh.bak
57c57
<             val=`ssh-keyscan -p 22222 $ip 2>/dev/null` 
---
>             val=`ssh-keyscan $ip 2>/dev/null` 
67c67
<         echo  "spawn scp -P 22222 -r  $SSH_DIR $DEST_USER@$ip:~/">>$TMP_SCRIPT 
---
>         echo  "spawn scp -r  $SSH_DIR $DEST_USER@$ip:~/">>$TMP_SCRIPT
 
最後執行腳本,進行相互信任關系批量部署即可
[root@server-202 ~]# sh /opt/ssh_auth.sh root kevin123456 /opt/host

批量實現多臺服務器之間ssh無密碼登錄的相互信任關系

相關推薦

批量實現服務之間ssh無密碼錄的相互信任

rip 情況下 它的 文件拷貝 遠程機器 列表 ln -s file not in 最近IDC上架了一批hadoop大數據業務服務器,由於集群環境需要在這些服務器之間實現ssh無密碼登錄的相互信任關系。具體的實現思路:在其中的任一臺服務器上通過"ssh-keygen -

linux批量復制文件到服務腳本

shell腳本=======================xsync.sh======================================#!/bin/bashif [[ $# -lt 1 ]] ; then echo no params ; exit ; fip=$1#echo p=$pdir

ansible實現mariadb在服務的自動安裝

ansible#!/bin/bash #ansible 命令 `ansible all -m user -a ‘name=mysql home=/home/app/dbdata group=mysql‘` `ansible all -m group -a ‘name=mysql gid=306 system

shell腳本實現同時管理服務

ansible scp 我們 rep grep AI 批量 多臺 成功 shell腳本實現同時管理多臺服務器,未使用ansible,自動手動實現 ssh不登錄機器執行命令(前提得實現無密碼登錄) ssh 127.0.0.1 ‘ifconfig‘ ssh 127.0.0.1

服務文件同步實現

創建目錄 zed error host 屬組 殺死 dup comm read 一、rsync特性 可以鏡像保存整個目錄樹和文件系統。 可以很容易做到保持原來文件的權限、時間、軟硬鏈接等等。 無須特殊權限即可安裝。 快速:第一次同步時rsync會復制全部內容,但在下

C/S架構程序種類服務之間實現單點

代碼 支持 無法 註冊 概率 檢查 ip地址 用戶訪問 .html (一) 在項目開發的過程中,經常會出現這樣的情況:我們的產品包括很多,以QQ舉例,如登陸、好友下載、群下載、網絡硬盤、QQ遊戲、QQ音樂等,總不能要求用戶每次輸入用戶名、密碼吧,為解

服務聯合工作之samba+wordpress

samba 負載均衡 wordpress 聯合 首先安裝並配置samba 在日常工作中我們可能經常會遇到在Linux和Windows系統之間相互傳遞文件的事情,像這種情況我們可以使用類似於FileZila這種軟件,但是如果我們有很多的Windows系統,那麽就需要在所有的Windows系

U盤和電腦指定目錄同步,修改後可以作為幾服務之間的文件同步

and history txt fin util any record comm text 使用場景:同步 電腦 和 U盤 的文件,文件的修改、刪除、新增,只需要運行腳本就可以同步 電腦 和 U盤 指定的文件夾中的所有文件;電腦 和 U盤 之間同步時候以文件內容最新的為準;

使用Flask結合python實現服務的內存監控

python flask 內存監控 使用Flask結合python實現多臺服務的內存監控 簡介:使用flask結合python可以很好的實現服務資源的監控,而且Flask是一個使用 Python 編寫的輕量級 Web 應用框架。其

linux兩服務之間文件/文件夾拷貝

其中 輸入 root 路徑 tool 輸入密碼 txt tools tmp linux兩臺服務器之間文件/文件夾拷貝 跨服務器拷貝需要用到的命令是scp. ----------------------拷貝文件夾--------------------------------

PowerShell 運維菜鳥系列-01-批量為n服務導入PFX證書(2017年除夕奉獻)

use hit stack ans path 域服務器 normal 技術 var 作為PowerShell菜鳥,我用PowerShell已有n年了,不怎麽使用,但積累不少實用的PowerShell腳本。將在後續的工作中一一給大家分享。項目背景:在測試中使用一個公網證書,

一次針對服務交互式主機命令采集Python腳本編寫

.py 數據庫版本 toad 監控主機 pro efault 分享 多臺 linux 【環境介紹】 系統環境:Linux + Python 2.7.10(監控主機) 【背景描述】 需求:每次節假日或者重要時間時,需要對數據庫主機信息進行檢查,比如主機空間使用率之類。

GIT使用不同的郵箱秘鑰連接gitlab,oschina,和github 等服務

GIT linux ssh gitlab github 實例:一、根據郵箱生產不同秘鑰 生產服務器gitlab秘鑰值ssh-keygen -t rsa -C [email protected]值名稱:id_rsa_lab id_rsa_lab.pub 生產github秘鑰值ssh-

sersync 服務個目錄的時時同步、備份

sersync sersync時時同步 同步軟件 一、為什麽要用Rsync+sersync架構?1、sersync是基於Inotify開發的,類似於Inotify-tools的工具2、sersync可以記錄下被監聽目錄中發生變化的(包括增加、刪除、修改)具體某一個文件或某一個目錄的名字,然後使用r

使用expcet傳公鑰到服務

pass tin continue var 服務 out 公鑰 expec pre #!/usr/bin/expect if { $argc != 2 } { send_user "usage: expect ssh.exp ip\n"

服務共享session問題

大數據庫 新的 安全性 span 推薦 不同 網站 現在 log 在現在的大型網站中,如何實現多臺服務器中的session數據共享呢 當使用多臺服務器架設成集群之後,我們通過負載均衡的方式,同一個用戶(或者ip)訪問時被分配到不同的服務器上,假設在A服務器登錄,如

zabbix實現服務的自動化監控--技術流ken

一個 null rip exp ces ras 方法 分布式 ech 前言 最近有小夥伴通過Q聯系到我說:公司現在有百多臺服務器,想要部署zabbix進行監控,怎麽實現自動化全網監控? 本篇博客就把我告訴他的解決方案寫出來,供大家以後參考。 實現自動化全網

CentOS7系統 ansible自動化部署服務部署

運維平臺 並行 ict 加速 分組 管理 agen 依賴管理 結合 CentOS7系統 ansible自動化部署多臺服務器部署 Ansible工作機制 從圖中可以看出ansible分為以下幾個部份: 1> Control Node:控制機器2>

連接mysql慢或者服務ping不通mysql

min 支持 rational 完全 沒有 resolv fire ddr hosts 異常:“OperationalError:(1042,”無法獲取您的地址的主機名“)   或者 多主機,dns慢,有的ping不通mysql,有的連

CentOS 之間ssh無密碼

ssh 無密碼 準備工作: 1、確認本機sshd的配置文件(需要root權限),默認都是允許的,如果不是請修改  # cat /etc/ssh/sshd_config  找到以下內容,並去掉註釋符”#“  RSAAuthentication yes  PubkeyAuthentication y