https://segmentfault.com/a/1190000009832597
背景
之前使用vmware vCenter管理虛擬機, 我們在做模版時就將控制節點的公鑰放入了虛擬機模版, 因此使用模版新建的虛擬機都可以直接從控制節點免密鑰登錄的, 能夠有效解決虛擬機密碼被改了無法登錄的問題, 以及通過控制節點來做一些軟件安裝/配置修改和服務監控等。
最近在OpenStack
上新建了100多臺機器, 這些機器一開始並沒有內置公鑰, 機器開機後要對他們進行初始化, 如修改yum源和主機名, 常用工具安裝, SELINUX/iptables禁用, vim設置優化等, 逐一手動修改工作量無疑會大到讓人奔潰, 在不熟悉Ansible
的情況下, 我們要做的第一步就是將控制節點的公鑰拷貝到遠程虛擬機上, 但是一個個的執行ssh-copy-id
還要輸入不同的隨機密碼,也會累死人的。有沒有比較好的shell腳本來實現呢? 摸索了一下, 找到了對應的解決辦法;
詳細步驟
1. 需要的工具
sshpass (添加epel源進行安裝)
ssh-copy-id (centos已內置)
2. 新建文件保存主機名/IP/密碼信息
將需要添加公鑰的主機名/IP地址/主機密碼存入到文本文件hostsname.txt
中,格式如下:
node01 10.0.0.21 9nDvik7w
node02 10.0.0.22 5fDviDEw
node03 10.0.0.23 FiPp2UpR
node04 10.0.0.24 KeMbe57z
node05 10.0.0.25 FElJ3ArM
3. 使用sshpass實現ssh自動填寫密碼
使用sshpass
將密碼傳遞給ssh-copy-id
, 使得當需要輸入密碼時, 能夠自動讀取變量進行輸入並完成驗證.
本腳本在原來的基礎上添加了一些附加功能, 包括:
- 拷貝本機公鑰到遠程主機
- 免密鑰登錄到遠程主機設置主機名
- 在遠程主機生成ssh-key並將公鑰收集到本機
- 將主機列表添加到hosts文件並拷貝到遠程主機
- 設置sshd配置文件UseDNS爲no以加快ssh連接並拷貝到遠程主機
- 設置ssh配置文件禁用遠程scp/ssh時詢問並拷貝到遠程主機
- 彙總所有主機的公鑰並拷貝到所有節點,使得能互相免密登錄(慎用)
腳本copy_ssh_id.sh
如下:
cat > copy_ssh_id.sh << EOF
#!/bin/bash
rm -f ./authorized_keys; touch ./authorized_keys
sed -i '/StrictHostKeyChecking/s/^#//; /StrictHostKeyChecking/s/ask/no/' /etc/ssh/ssh_config
sed -i "/#UseDNS/ s/^#//; /UseDNS/ s/yes/no/" /etc/ssh/sshd_config
cat node.hosts | while read host ip pwd; do
sshpass -p $pwd ssh-copy-id -f $ip 2>/dev/null
ssh -nq $ip "hostnamectl set-hostname $host"
ssh -nq $ip "echo -e 'y\n' | ssh-keygen -q -f ~/.ssh/id_rsa -t rsa -N ''"
echo "===== Copy id_rsa.pub of $ip ====="
scp $ip:/root/.ssh/id_rsa.pub ./$host-id_rsa.pub
cat ./$host-id_rsa.pub >> ./authorized_keys
echo $ip $host >> /etc/hosts
done
cat ~/.ssh/id_rsa.pub >> ./authorized_keys
cat node.hosts | while read host ip pwd; do
rm -f ./$host-id_rsa.pub
echo "===== Copy authorized_keys to $ip ====="
scp ./authorized_keys $ip:/root/.ssh/
scp /etc/hosts $ip:/etc/
scp /etc/ssh/ssh_config $ip:/etc/ssh/ssh_config
scp /etc/ssh/sshd_config $ip:/etc/ssh/sshd_config
ssh -nq $ip "systemctl restart sshd"
done
EOF
4. 驗證是否拷貝成功
在CRT會話窗口中, 勾選使用Send command to all sessions
選項同時將命令cat .ssh/authorized_keys
發送到ssh主機:
[root@gateway01 ~]# cat .ssh/authorized_keys
ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEA7S0v0xsVaYB1B0NL/tzX0BkFttUWfBqYCL/LokSe3B6fgajY+b5FhxkCElGGvZKdGRQGqL07hcLcDHE3eWldOqv1jJ/rNO/omlogvs0dZwr9vI8QCmb/98ZHKTLrd3iDVMX4WiSTJ1mgxHIKFz6I1K0whcMObioyr8dFHWWTMSx2LDshGEsFQBcNLfAdjMaYE9OOpo05jOxiMaPq8M1oE4sdcJ3yKZHGO1ZzibapUuHiSma2pMbdR2OGC8SSIs5lRif1UUqg9rdsuztaikKpHSVYMrMZuIWW3jaAuJf8wZtnyaKU6y/GDm3H/SD0LWtRE7FUEBIT64aQjptcoOxoYw== root@deploy
5. 驗證是否能夠免密鑰登錄
[root@deploy ~]# ssh ngx-gw01
Warning: Permanently added 'ngx-gw01' (RSA) to the list of known hosts.
Last login: Sun Mar 19 22:54:08 2017 from 172.20.224.202
[root@ngx-gw01 ~]#
6. 注意
第5步中沒有提示要求輸入yes
進行確認,是我之前就在ssh_config
文件中設置了不進行確認:
vim /etc/ssh/ssh_config
#Add at the end of file
StrictHostKeyChecking no
或者
sed -i '/StrictHostKeyChecking/s/^#//; /StrictHostKeyChecking/s/ask/no/' /etc/ssh/ssh_config