多台机器批量执行命令

版权所有，请勿转载

以批量修改用户密码为例，用于机器权限回收

一、建立信任关系

模拟情况，A机器想要免密码用ssh登录B机器：

1.        生成A机器的公私钥匙对

ssh-keygen -t rsa

2.        拷贝A机器的公钥到B机器的.shh目录

scp /root/.ssh/id_rsa.pubroot@66.3.47.33:/root/.ssh/

3.        登录B机器，追加A机器的公钥到B机器的认证文件中：

cat /root/.ssh/id_rsa.pub >>/root/.ssh/authorized_keys

 

二、远程执行修改用户密码命令

命令格式：ssh 远程用户名@远程主机IP地址 '远程命令或者脚本'

remote_cmd="chpasswd -e < /root/ihslogs/chushi.txt"

ssh root@66.3.47.19 "$remote_cmd"
ssh root@66.3.47.20 "$remote_cmd"
ssh root@66.3.47.21 "$remote_cmd"
ssh root@66.3.47.22 "$remote_cmd"
ssh root@66.3.47.23 "$remote_cmd"
ssh root@66.3.47.24 "$remote_cmd"
ssh root@66.3.47.25 "$remote_cmd"
ssh root@66.3.47.26 "$remote_cmd"
ssh root@66.3.47.27 "$remote_cmd"
ssh root@66.3.47.32 "$remote_cmd"
ssh root@66.3.47.33 "$remote_cmd"
ssh root@66.3.47.34 "$remote_cmd"
ssh root@66.3.47.35 "$remote_cmd"
ssh root@66.3.47.36 "$remote_cmd"
ssh root@66.3.47.37 "$remote_cmd"
ssh root@66.3.47.38 "$remote_cmd"
ssh root@66.3.47.39 "$remote_cmd"
ssh root@66.3.47.40 "$remote_cmd"
ssh root@66.3.47.41 "$remote_cmd"
ssh root@66.3.47.42 "$remote_cmd"
ssh root@66.3.47.43 "$remote_cmd"
ssh root@66.3.47.44 "$remote_cmd"
ssh root@66.3.47.45 "$remote_cmd"
ssh root@66.3.47.46 "$remote_cmd"
ssh root@66.3.47.47 "$remote_cmd"

三、去掉首次登录提示

1、批量登录一堆机器、如果是首次登录的机器、ssh命令会提示是否连接，然后就需要输入yes/no，如果一次登录一堆机器那么一直输入的话很烦，解决方法：

在~/.ssh目录下增加文件config，并添加一行：StrictHostKeyChecking no 既可。

2、“Bad owneror permissions on /home/rd/.ssh/config”问题的解决：

执行上述“1”后、还是会有问题，会报“Bad owneror permissions on /home/rd/.ssh/config”，这是因为config文件的权限设置的不正确，设置为 600 既可。

四、自动执行

crontab -e

*　　*　　*　　*　　*　　command
分　时　日　月　周　命令

35 17 14 9 * sh /root/wxy/**.sh

tail -f  /var/log/messages 可查看自动执行情况

 

五、 linux下批量修改用户密码 

对系统定期修改密码是一个很重要的安全常识，通常，我们修改用户密码都使用passwd user这样的命令来修改密码，但是这样会进入交互模式，即使使用脚本也不能很方便的批量修改，除非使用expect这样的软件来实现，难道修改一下密码还需要单独安装一个软件包吗?不，我们其实还有其他很多方法可以让我们避开交互的，下面具体写一下具体的实现方式：

第一种：
echo "123456" | passwd --stdin root

优点：方便快捷
缺点：如果你输入的指令能被别人通过history或者其他方式捕获，那么这样的方式是很不安全的，更重要的是如果密码同时含有单引号和双引号，那么则无法通过这种方法修改。

说明：
批量修改linux密码 passwd--stdin user从标准输入中读取密码，所以用户可以在脚本中使用如echo NewPasswd | passwd --stdin username这种方式来批量更改密码但在其它的一些发行版（如Debian/Suse）所提供的passwd并不支持--stdin这个参数 

SUSE LINUX 12操作系统不支持--stdin这个参数

第二种：
a. 首先将用户名密码一起写入一个临时文件.
cat chpass.txt
root:123456
zhaohang:123456
b. 使用如下命令对用户口令进行修改：
chpasswd < chpass.txt
c. 可以使用 123456来登录系统，密码修改完毕.

优点：可以很快速方便的修改多个用户密码
缺点：明文密码写在文件里仍然显得不够安全，但是避免了第一种修改方式不能有特殊字符串密码的情况.

第三种：
a. 用openssl passwd -1  123456来生成用户口令，连同用户名一起写入文件.
cat chpass.txt
root:$1$ri2hceVU$WIf.firUBn97JKswK9ExO0
zhaohang:$1$i/Gou7.v$Bh2K6sXmxV6/UCxJz8N7b.
b. 使用如下命令对用户口令进行修改：
chpasswd -e < chpass.txt
c. 可以使用 123456来登录系统，密码修改完毕.

优点：可以很快速方便的修改多个用户密码，和上面两种相比大大增强了安全性

附加介绍：
openssl passwd -1 命令可以输出shadow里面的密码，把这个命令生成的秘串更改为你shadow里的密码，那么下次你登录系统就可以用你的生成密码的口令来登录了，使用这个命令，即使口令一样，多次执行生成的密码串也不一样。那个hash值对应的密码是完全随机的基于64位字符编码的28位长，因此要破解它是非常困难的，只要不用那些密码已经公布出来的hash值创建账号，即使这些密码文件被公布也还是比较安全的。

[root@WEB01~]# openssl passwd -1

Password:123456
Verifying - Password: 123456
$1$ri2hceVU$WIf.firUBn97JKswK9ExO0

也可以直接使用如下命令来直接生成：
[root@WEB01 ~]# openssl passwd -1 123456

[root@WEB01~]# openssl passwd -1 -salt "yoctor" 123456

上面命令中的salt 自己随便输入些东西
因为设置密码的时候密码密文是MD5加密的，在产生哈希值的时候系统回在密文中加salt从而使密文无法反向破译。
passwd加密的时候系统加的salt是时间

 以上根据网上文档汇总整理，参考了以下文档：

https://www.phpbulo.com/archives/400.html

http://blog.csdn.net/cscrazybing/article/details/51235378

http://www.2cto.com/os/201304/203376.html