shell脚本实现无密码交互的SSH自动登陆

 

shell脚本实现无密码交互的SSH自动登陆  

2010-12-03 12:58:58|  分类：linux/unix |  标签：|字号大中小 订阅

http://blog.163.com/lgh_2002/blog/static/44017526201011305858559/

ssh连接远程主机时候询问密码，跟su、sudo命令的默认行为一样，是不从stdin读入数据的，据称是为安全考虑，但是有时候在脚本当中确实需要无人守值的登陆。

搜索一下不难找到类似的例子，使用expect来完成密码应答：

12345678910

#!/bin/bashauto_login_ssh () {    expect -c "set timeout -1;                spawn -noecho ssh -o StrictHostKeyChecking=no $2 ${@:3};                expect *assword:*;                send -- $1\r;                interact;";} auto_login_ssh passwd user@host

StrictHostKeyChecking=no参数让ssh默认添加新主机的公钥指纹，也就不会出现出现是否继续yes/no的提示了。

expect很不错，上述代码基本可以达到要求了，能够当翻墙用的ssh -D自动登陆，执行远程命令等等，但是如果作为一个完全非交互的远程工具，应该说还一差，不能返回整个连接执行过程是否成功。

使用expect后，程序的exit status是expect的，而不是ssh的，所以如果遇上连接不到的主机、密码错误等情况，expect也一样是正常退出，$?为0，所以需要对expect的代码稍加修改；

12345678910111213141516171819

#!/bin/bashauto_smart_ssh () {    expect -c "set timeout -1;                spawn ssh -o StrictHostKeyChecking=no $2 ${@:3};                expect {                    *assword:* {send -- $1\r;                                 expect {                                    *denied* {exit 2;}                                    eof                                 }                    }                    eof         {exit 1;}                }                "    return $?} auto_smart_ssh passwd user@host ls /varecho -e "\n---Exit Status: $?"

这段expect的Tcl代码主要作用是，如果在输入密码后遇到Permission denied，肯定是脚本提供的帐号有问题，就直接让expect按状态2退出；而如果主机不可达No route to host, timed out, Connection refused等情况，ssh会直接退出，expect收到eof，让其按状态1退出。而因为这个设计本来就用于执行远程命令后退出，不需要用户交互，所以第9行的eof则是让expect等待ssh退出，而不是不是进行interact了。

有这样的处理，使用autosmartssh的脚本就可以根据返回值判断执行过程的是否成功，而进行相应处理了。

openssh里面另外一个很好用的远程文件传输工具scp，也以如法炮制：

123456789101112131415161718

auto_scp () {    expect -c "set timeout -1;                spawn scp -o StrictHostKeyChecking=no ${@:2};                expect {                    *assword:* {send -- $1\r;                                 expect {                                    *denied* {exit 1;}                                    eof                                 }                    }                    eof         {exit 1;}                }                "    return $?} auto_scp pass ~/myfile user@host:~/path/to/myfileecho $?

---

后话：

如果仅仅是日常使用，为了避免经常输入主机密码的麻烦，最理想的方法是生产本机的公/私密钥对，把指纹直接复制到远程主机上，较新的openssh提供了ssh-copy-id工具：

1234

ssh-keygenssh-copy-id user@host1ssh-copy-id user@host2ssh-copy-id user@host3

运行ssh-keygen时会问几个问题，全部回车默认就是我们要的效果了，分别把密钥分发到远程主机后，以后执行ssh user@host，还是scp，都是直接完成了。

如果需要删除远程机器上对应本机本账户的密钥，登陆到该账户，打开~/.ssh/authorized_keys文件，搜索你的用户名，删除那行，保存，即可。

当然也可以自动化：

123456789

auto_ssh_copy_id () {    expect -c "set timeout -1;                spawn ssh-copy-id $2;                expect {                    *(yes/no)* {send -- yes\r;exp_continue;}                    *assword:* {send -- $1\r;exp_continue;}                    eof        {exit 0;}                }";}