背景: 有时候我们在两个主机之间复制文件的时候,提示输入密码,很不方便,那如何免密码复制呢?,就是使用通过linux公钥和秘钥,建立双机信任关系。
在整理之前,我先说下ssh免密码的要点 :
你想免密码登陆到哪个主机哪个用户, 就把你自己的公钥文件内容追加到远程主机对应用户下的authorized_keys文件中(对面可能没有这个文件,创建即可)。
1. 生成秘钥,并添加信任
我的环境中node1的ip是192.168.168.201,node2的ip是192.168.168.202.
[root@node1 ~]# ssh-keygen -t rsa -P '' -f ~/.ssh/id_rsa #生成rsa
[root@node1 ~]# ssh-copy-id -i ~/.ssh/id_rsa.pub root@192.168.168.202 #复制201的公钥到202机器上,这样就可以使用在201机器上免密码登录202机器了。
[root@node2 ~]# ssh-keygen -t rsa -P '' -f ~/.ssh/id_rsa #生成rsa
[root@node2 ~]# ssh-copy-id -i ~/.ssh/id_rsa.pub root@192.168.168.201 #复制202的公钥到201机器上,这样就可以使用在202机器上免密码登录201机器了。
注意:
- 如果远程主机的端口非22端口,需要指定-p port选项。
- ssh-copy-id是由openssh-clients包提供,没有这个命令可以安装这个包。
- centos6,7使用ssh-copy-id的时候可以不用指定-i选项,centos5必须指定的。
2.信任自己主机
[root@node1 ~]# ssh-copy-id -i ~/.ssh/id_rsa.pub root@192.168.168.201 [root@node2 ~]# ssh-copy-id -i ~/.ssh/id_rsa.pub root@192.168.168.202
3.测试
[root@node1 ~]# ssh 192.168.168.202 'ip addr show dev eth0 ' 2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000 link/ether 00:50:56:3f:42:13 brd ff:ff:ff:ff:ff:ff inet 192.168.168.202/24 brd 192.168.168.255 scope global eth0 inet6 fe80::250:56ff:fe3f:4213/64 scope link valid_lft forever preferred_lft forever [root@node2 ~]# ssh 192.168.168.201 'ip addr show dev eth0' 2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000 link/ether 00:0c:29:c9:20:88 brd ff:ff:ff:ff:ff:ff inet 192.168.168.201/24 brd 192.168.168.255 scope global eth0 inet 192.168.168.200/24 brd 192.168.168.255 scope global secondary eth0 inet6 fe80::20c:29ff:fec9:2088/64 scope link valid_lft forever preferred_lft forever
4 自动配置免密码登陆
这里有个情况, 有一个跳板机,内部好多自己的服务器。远程只能通过跳板机远程内部服务器,现在需要在跳板机上免密码登陆内部的服务器。
4.1 各个机器上面需要先生成各自的公钥和密码
4.2 跳板机编写脚本和配置文件如下
#!/bin/bash #================================================ #FileName :expect_ssh.sh #Author :zhaojiedi #Description: #DateTime :2018-01-05 08:26:06 #Version :V1.0 #Other : #================================================ host_username_password_file=hosts.txt # install expect rpm -q expect &>/dev/null || yum install -yq expect &>/dev/null # create id_rsa.pub file pubkey=~/.ssh/id_rsa.pub if [ ! -e "$pubkey" ] ; then ssh-keygen -P "" -t rsa -f ~/.ssh/id_rsa fi while read host username password ; do con=${username}"@"${host} echo $password expect <<EOF set timeout 20 spawn ssh-copy-id $con expect { "yes/no" { send "yes " ; exp_continue } "password:" { send "${password} "; exp_continue } } EOF done < $host_username_password_file
样例的配置文件是这样的。
[root@centos74 bin]$ cat hosts.txt 172.18.46.6 root oracle
4.3 集群主机免密码配置
上面的跳板机配置免密码登陆都是单向的, 但是对于集群环境我们需要配置任意2个主机的主机信任的。
#!/bin/bash # 配置项 # 文件格式是 ip usename password port 中间使用空格分割 host_username_password_file=/root/hosts.txt # 配置是否copy文件到其他目标主机上去,只有第一个执行的主机需要copy,其他不需要的 need_copy_to_other=0 src_host="current_host_ip" #echo $# if [ "$#" -eq 0 ] ; then need_copy_to_other=1 else src_host=$1 fi # 安装 expect rpm -q expect &> /dev/null || yum install -yq expect &>/dev/null # 创建 秘钥文件 pubkey=~/.ssh/id_rsa.pub prikey=~/.ssh/id_rsa if [ ! -e "$pubkey" ] ; then ssh-keygen -P "" -t rsa -f $prikey &>/dev/null fi while read host username password port ; do if [ -z "$host" ] ; then continue fi printf "%16s=======>%-16s " $src_host $host #echo "==============================$host $username $password $port ========================================= " con=${username}"@"${host} cmd_with_argv="ssh-copy-id -p $port $con " #echo $password expect <<-EOF set timeout 600 log_user 0 spawn -noecho $cmd_with_argv expect { "yes/no" { send "yes "; exp_continue } "password:" { send "${password} "; exp_continue } } EOF &> /dev/null if [ "$need_copy_to_other" -eq 1 ] ; then ip a | grep $host &> /dev/null if [ "$?" -ne 0 ] ; then #echo "==>复制必要的文件到远程主机($host)上去" scp -q -p -P $port $host_username_password_file $host:$host_username_password_file scp -q -p -P $port $0 $host:$0 #echo "==>在目标主机${host}上执行下" ssh -f -p $port $con "$0 $host " fi fi done < $host_username_password_file sleep 2
[root@localhost ~]# cat hosts.txt 192.168.46.151 root oracle 22 192.168.46.152 root oracle 22 192.168.46.153 root oracle 22 192.168.46.154 root oracle 22 192.168.46.157 root oracle 22
使用方式
[root@localhost ~]# /root/expect.sh current_host_ip=======>192.168.46.151 current_host_ip=======>192.168.46.152 current_host_ip=======>192.168.46.153 192.168.46.152=======>192.168.46.151 192.168.46.152=======>192.168.46.152 192.168.46.152=======>192.168.46.153 current_host_ip=======>192.168.46.154 192.168.46.153=======>192.168.46.151 192.168.46.152=======>192.168.46.154 192.168.46.153=======>192.168.46.152 192.168.46.152=======>192.168.46.157 192.168.46.153=======>192.168.46.153 current_host_ip=======>192.168.46.157 192.168.46.154=======>192.168.46.151 192.168.46.153=======>192.168.46.154 192.168.46.154=======>192.168.46.152 192.168.46.153=======>192.168.46.157 192.168.46.154=======>192.168.46.153 192.168.46.154=======>192.168.46.154 192.168.46.154=======>192.168.46.157