需求
為了保證一台Linux主機的安全,是以我們每個主機登入的時候一般我們都設定賬号密碼登入。但是很多時候為了操作友善,我們都通過設定SSH免密碼登入。
在這裡我對本地機器Cloud10和目标機器Cloud11、Cloud12進行免密登入
大緻的三步
1.本地機器生成公私鑰
2.上傳公鑰到目标機器
3.測試免密登入
具體操作
1.準備工作
- 使用root權限分别修改每台機器的hosts,添加每台機器所對應的IP和主機名(我這裡分布式叢集是3台機器組成的,是以配置3台,習慣将自己的ip和主機名放在第一行)
sudo vim /etc/hosts
- 檢視本地機器的隐藏檔案.ssh
- ll -a
2.在本地機器用 ssh-keygen -t rsa 生成一個公私鑰對
- 在ssh目錄下進行,輸入三個回車
- 進入 .ssh目錄 cd .ssh/
- 發起公鑰 請求 ssh-keygen -t rsa
在 .ssh/ 目錄下,會新生成兩個檔案: id_rsa (私鑰) id_rsa.pub(公鑰)
3.上傳公鑰到目标機器
ssh-copy-id -i ~/root/.ssh/id_rsa.pub 20.200.20.20(目标主機ip位址)
ssh-copy-id -i [email protected]
注意:(@前邊是接受公鑰機器的使用者名,後邊是接受放的ip,因為配置了映射是以ip可以用主機名代替)】
檢視遠端從節點主機上是否接收到 authorized_keys檔案
這個時候 Cloud10的公鑰檔案内容會追加寫入Cloud11的 .ssh/authorized_keys檔案中
檔案中檢視Cloud11下的authorized_keys檔案與Cloud10下的id_rsa.pub中内容是一樣的,如下圖所示
重新開機SSH服務指令使其生效(3台機器都要重新開機)
sudo service shhd restart
另外我們要注意:
.ssh 目錄的權限為700,其下檔案authorized_keys和私鑰的權限為600,否則會因為權限問題導緻無法免密登入。我們可以看到登入後會生成 known_hosts檔案生成
chomd -R 700 .ssh/
sudo chomd 600 .ssh/authorized_keys
4.測試免密登入
使用IP 免密登入(使用者名相同時,ssh+主機名;如果不同,登入方式就是 ssh + 使用者名@ip位址)
ssh Cloud10
ssh Cloud11
ssh Cloud12
退出免密登入
exit
注意事項
- 免密碼登入的處理是使用者對使用者的,切換其他使用者後,仍然需要輸入密碼
-
遠端機器的.ssh目錄需要700權限,authorized_keys檔案需要600權限
否則配置是不成功的(每次登入都得重新去輸入密碼的)
上面隻是對 ssh的基本操作,在Linux上實作,那麼我們要批量實作ssh免密登入呢?下面介紹下使用 Python腳本實作免密登入的過程。
import argparse
import collections
import subprocess
import os
from datetime import datetime
from fabric import Connection
from invoke import Responder
# 存放目标伺服器的密碼
HOST_PASSWDS = ['xxxx1','xxxx2','xxxx3']
# 存放錯誤資訊的csv檔案
FILE_NAME = 'ssh_test_{}_error.scv'.format(datetime.now().strftime('%Y-%m-%d %H:%M:%S'))
# 全局變量,我這使用的是 命名元祖
HOST_RESULT = collections.namedtuple('Host',['ip','passwd'])
def logging_error(msg):
'''
記錄錯誤資訊的函數
:param msg: 錯誤資訊
:return:
'''
base_dir = os.getcwd()
full_filename = os.path.join(base_dir,FILE_NAME)
command = "echo '{}' >> {} ".format(msg,full_filename)
subprocess.check_call(command,shell=True)
def ssh_connect(ip,user='root',passwd=None,try_passwd=False):
'''
使用 ssh 連接配接伺服器
:param ip: 目标伺服器的ip位址
:param user: 一般ssh免密登入使用的是 root 使用者
:param passwd: 目标伺服器的密碼,我們統一放入清單中
:param try_passwd: True or False
:return:
'''
if passwd:
try:
host = Connection(ip,user=user,connect_kwargs={'password':passwd,'timeout':30})
host.run('ls',hide=True,warn=True)
if host.is_connected:
return host
except Exception as e:
return e
# 測試密碼
if try_passwd:
for passwd in HOST_PASSWDS:
try:
host = Connection(ip,user=user,connect_kwargs={'password':passwd})
host.run('ls',hide=True,warn=True)
if host.is_connected:
return host
except Exception as e:
return False
def check_host_passwd(iplist):
'''
檢測密碼是否可用
:param iplist: ip清單
:return: 存放ip和passwd的清單
'''
host_list = []
for ip in iplist:
host = ssh_connect(ip,try_passwd=True)
if not host:
msg = "{} - 登入失敗!".format(ip)
logging_error(msg)
continue
host_info = HOST_RESULT(ip=ip,passwd=host.connect_kwargs.get('password'))
host_list.append(host_info)
return host_list
def gen_master_ssh_key(master_node):
'''生成秘鑰
:param master_node: 主伺服器的ip和密碼組成的元祖類型
:return:
'''
host = ssh_connect(master_node.ip,passwd=master_node.passwd)
if not host:
return False,"{}.master主機登入失敗".format(master_node.ip)
# 啟動ssh服務
host.run('service sshd start',hide=True,warn=True)
command = 'find /root.ssh/ -name "id_rsa.pub"'
# 執行 Linux指令,判斷是否存在 id_rsa.pub檔案
result = host.run(command,hide=True,warn=True)
if len(result.stdout.strip()) == 0:
id_rsa = Responder(
pattern = r'/root/.ssh/id_rsa',
response = '\r\n'
)
passphrase = Responder(
pattern = r'passphrase',
response = '\r\n'
)
yes = Responder(
pattern = r'(y/n)',
response = 'y\n'
)
# 執行Linux 的 生成秘鑰的指令
result = host.run('ssh-keygen -t rsa',hide=True,warn=True,watchers=[id_rsa,passphrase,yes],timeout=10)
if not result.ok:
return False,"{}-生成ssh證書失敗".format(master_node.ip)
# print "[info]ip:{}-生成證書檔案成功".format(master_node.ip)
# else:
# print "[info] {} - master證書存在,不需要生成".format(master_node.ip)
host.close()
return True,'生成證書完成'
def ssh_test_to_other(master,node_list):
'''
把生成的證書分發給下面的免密的伺服器
:param master: 主伺服器 元祖
:param node_list: 節點清單
:return:
'''
host = ssh_connect(master.ip,passwd=master.passwd)
if not host:
return False,'{} - master 登入失敗'.format(master.ip)
for node in node_list:
passwd = Responder(
pattern=r'[Pp]assword:',
response = node.passwd + '\n'
)
yes = Responder(
pattern = r'(yes/no)',
response = 'yes\n'
)
# 清除 known_hosts檔案
clean_command = "ssh-keygen -f '/root/.ssh/known_hosts' -R {}".format(node.ip)
result = host.run(clean_command,hide=True,warn=True,timeout=30)
if result.ok:
return 'known_hosts 記錄清理'
else:
return 'konwn_hosts 無需清理'
# 分發證書的 Linux指令
scp_crt_command = 'ssh-copy-id -i /root/.ssh/id_rsa.pub {}'.format(node.ip)
try:
result = host.run(scp_crt_command,watchers=[passwd,yes],hide=True,warn=True,timeout=20)
if result.ok:
return '{} - 證書分發- {} - 成功'.format(master.ip,node.ip)
else:
msg = '{} - 證書分發- {} - 不成功'.format(master.ip,node.ip)
logging_error(msg)
except Exception as e:
msg = '{} - 證書分發- {} - 成功 {}'.format(master.ip,node.ip,e.message)
logging_error(msg)
return True,''
# 參數解析
def parser_cla():
'''
對傳入 Python腳本的參數做解析
:return:
'''
parse = argparse.ArgumentParser()
# 傳入的伺服器的ip/passwd 的格式,主伺服器的ip和密碼
parse.add_argument('-m','--master',help='this ip of master usage:ip/passwd')
# 節點伺服器的ip,用逗号分隔開,可以是單個ip,也可以是多個ip
parse.add_argument('-s','--nodes',help='this ip of node multiple host split by “,”')
# 節點檔案。可以把多個ip放入檔案内,腳本自動讀取檔案
parse.add_argument('-f','--nodefile',help='the full path of node file like /tmp/node.txt')
# 測試 節點是否可以免密登入的參數
parse.add_argument('-c','--check',action='store_true',help='check the nodes is can be ssh login')
# 密碼的參數,是節點伺服器的密碼,可以不輸入,預設使用 HOST_PASSWD中的密碼
parse.add_argument('-p','--passwd',help='add other passwd for nodes')
args = parse.parse_args()
return args
def check_ssh_login(master,nodes):
'''
測試免密登入是否實作的函數
:param master: 主伺服器
:param nodes: 節點伺服器
:return:
'''
# 主伺服器的連接配接
host = ssh_connect(master.ip,passwd=master.passwd)
if not host:
return False,'{} - master 登入失敗'.format(master.ip)
# 周遊節點伺服器清單,對每一個ip進行測試
for node in nodes:
ssh_command = 'ssh {} echo "ok" '.format(node)
try:
result = host.run(ssh_command,pty=True,hide=True,warn=True,timeout=5)
if result.ok:
return True,'{} 登入{}成功'.format(master.ip,node)
else:
msg = '{} 登入{}失敗--{}'.format(master.ip,node,result.stdout)
logging_error(msg)
except Exception as e:
msg = '{} - master登入{} 失敗--{}'.format(master.ip,node,e)
logging_error(msg)
return True,''
def main():
'''
運作函數
:return:
'''
# 存放節點伺服器的清單
nodelist = []
# 對參數的解析
args = parser_cla()
# 有主伺服器,需指定主伺服器的格式
if args.master:
try:
master_ip,master_passwd = args.master.split('/')
except Exception as e:
# print '輸入指定格式 --master master_ip/passwd'
return False
# print 'master:{},passwd{}'.format(master_ip,master_passwd)
master_node = HOST_RESULT(ip=master_ip,passwd=master_passwd)
else:
# print '需指定master主機 --master_ip/passwd'
return False
#對傳入節點伺服器ip進行分割
if args.nodes:
nodelist = args.nodes.split(',')
# print 'nodes:{}'.format(nodelist)
# 對節點伺服器檔案的處理
if args.nodefile:
file_name = args.nodefile
base_dir = os.getcwd()
full_path = os.path.join(base_dir,file_name)
with open(full_path,'r')as f:
nodelist = [ip.strip() for ip in f.readline()]
# print 'nodes:{}'.format(nodelist)
# 沒有節點 和 節點檔案傳入,做出的處理
if not args.nodes and not args.nodefile:
# print '需指定分發證書節點 --nodes or --nodefile'
return False
# 對參數密碼的處理,可以輸入多個密碼,逗号分割
if args.passwd:
passwds = args.passwd.split(',')
for i in passwds:
HOST_PASSWDS.insert(0,i)
#進行測試
if args.check:
# 檢查證書是否可用
check_ssh_login(master_node,nodelist)
return
# 登入主機生成秘鑰,擷取密碼
node_result = check_host_passwd(nodelist)
if len(node_result) == 0:
# print '無可用節點'
return False
status,msg = gen_master_ssh_key(master_node)
if not status:
logging_error(msg)
# 分發所有master主機證書到node
ssh_test_to_other(master_node,node_result)
if __name__ == '__main__':
main() Python代碼