使用ssh-copy-id批量拷貝公鑰到遠程主機

https://segmentfault.com/a/1190000009832597

背景

之前使用vmware vCenter管理虛擬機, 我們在做模版時就將控制節點的公鑰放入了虛擬機模版, 因此使用模版新建的虛擬機都可以直接從控制節點免密鑰登錄的, 能夠有效解決虛擬機密碼被改了無法登錄的問題, 以及通過控制節點來做一些軟件安裝/配置修改和服務監控等。

最近在OpenStack上新建了100多臺機器, 這些機器一開始並沒有內置公鑰, 機器開機後要對他們進行初始化, 如修改yum源和主機名, 常用工具安裝, SELINUX/iptables禁用, vim設置優化等, 逐一手動修改工作量無疑會大到讓人奔潰, 在不熟悉Ansible的情況下, 我們要做的第一步就是將控制節點的公鑰拷貝到遠程虛擬機上, 但是一個個的執行ssh-copy-id 還要輸入不同的隨機密碼,也會累死人的。有沒有比較好的shell腳本來實現呢? 摸索了一下, 找到了對應的解決辦法;

詳細步驟

1. 需要的工具

sshpass (添加epel源進行安裝)
ssh-copy-id (centos已內置)

2. 新建文件保存主機名/IP/密碼信息

將需要添加公鑰的主機名/IP地址/主機密碼存入到文本文件hostsname.txt 中,格式如下:

node01 10.0.0.21 9nDvik7w
node02 10.0.0.22 5fDviDEw
node03 10.0.0.23 FiPp2UpR
node04 10.0.0.24 KeMbe57z
node05 10.0.0.25 FElJ3ArM

3. 使用sshpass實現ssh自動填寫密碼

使用sshpass將密碼傳遞給ssh-copy-id , 使得當需要輸入密碼時, 能夠自動讀取變量進行輸入並完成驗證.
本腳本在原來的基礎上添加了一些附加功能, 包括:

• 拷貝本機公鑰到遠程主機
• 免密鑰登錄到遠程主機設置主機名
• 在遠程主機生成ssh-key並將公鑰收集到本機
• 將主機列表添加到hosts文件並拷貝到遠程主機
• 設置sshd配置文件UseDNS爲no以加快ssh連接並拷貝到遠程主機
• 設置ssh配置文件禁用遠程scp/ssh時詢問並拷貝到遠程主機
• 彙總所有主機的公鑰並拷貝到所有節點,使得能互相免密登錄(慎用)

腳本copy_ssh_id.sh如下:

cat > copy_ssh_id.sh << EOF
#!/bin/bash
rm -f ./authorized_keys; touch ./authorized_keys
sed -i '/StrictHostKeyChecking/s/^#//; /StrictHostKeyChecking/s/ask/no/' /etc/ssh/ssh_config
sed -i "/#UseDNS/ s/^#//; /UseDNS/ s/yes/no/" /etc/ssh/sshd_config

cat node.hosts | while read host ip pwd; do
  sshpass -p $pwd ssh-copy-id -f $ip 2>/dev/null
  ssh -nq $ip "hostnamectl set-hostname $host"
  ssh -nq $ip "echo -e 'y\n' | ssh-keygen -q -f ~/.ssh/id_rsa -t rsa -N ''"
  echo "===== Copy id_rsa.pub of $ip ====="
  scp $ip:/root/.ssh/id_rsa.pub ./$host-id_rsa.pub
  cat ./$host-id_rsa.pub >> ./authorized_keys
  echo $ip $host >> /etc/hosts
done

cat ~/.ssh/id_rsa.pub >> ./authorized_keys
cat node.hosts | while read host ip pwd; do
  rm -f ./$host-id_rsa.pub
  echo "===== Copy authorized_keys to $ip ====="
  scp ./authorized_keys $ip:/root/.ssh/
  scp /etc/hosts $ip:/etc/
  scp /etc/ssh/ssh_config $ip:/etc/ssh/ssh_config
  scp /etc/ssh/sshd_config $ip:/etc/ssh/sshd_config
  ssh -nq $ip "systemctl restart sshd"
done


EOF

4. 驗證是否拷貝成功

在CRT會話窗口中, 勾選使用Send command to all sessions選項同時將命令cat .ssh/authorized_keys 發送到ssh主機:

[root@gateway01 ~]# cat .ssh/authorized_keys
ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEA7S0v0xsVaYB1B0NL/tzX0BkFttUWfBqYCL/LokSe3B6fgajY+b5FhxkCElGGvZKdGRQGqL07hcLcDHE3eWldOqv1jJ/rNO/omlogvs0dZwr9vI8QCmb/98ZHKTLrd3iDVMX4WiSTJ1mgxHIKFz6I1K0whcMObioyr8dFHWWTMSx2LDshGEsFQBcNLfAdjMaYE9OOpo05jOxiMaPq8M1oE4sdcJ3yKZHGO1ZzibapUuHiSma2pMbdR2OGC8SSIs5lRif1UUqg9rdsuztaikKpHSVYMrMZuIWW3jaAuJf8wZtnyaKU6y/GDm3H/SD0LWtRE7FUEBIT64aQjptcoOxoYw== root@deploy

5. 驗證是否能夠免密鑰登錄

[root@deploy ~]# ssh ngx-gw01
Warning: Permanently added 'ngx-gw01' (RSA) to the list of known hosts.
Last login: Sun Mar 19 22:54:08 2017 from 172.20.224.202
[root@ngx-gw01 ~]#

6. 注意

第5步中沒有提示要求輸入yes 進行確認,是我之前就在ssh_config文件中設置了不進行確認:

vim /etc/ssh/ssh_config
#Add at the end of file
  StrictHostKeyChecking no

或者

sed -i '/StrictHostKeyChecking/s/^#//; /StrictHostKeyChecking/s/ask/no/' /etc/ssh/ssh_config