Muszę utworzyć skrypt, który automatycznie wprowadza hasło do OpenSSH ssh klienta .
Powiedzmy, że muszę myname@somehostwprowadzić hasło SSHa1234b .
Próbowałem już ...
#~/bin/myssh.sh
ssh myname@somehost
a1234b... ale to nie działa.
Jak mogę wprowadzić tę funkcjonalność do skryptu?
Odpowiedzi:
Najpierw musisz zainstalować sshpass .
apt-get install sshpass yum install sshpass pacman -S sshpassPrzykład:
sshpass -p "YOUR_PASSWORD" ssh -o StrictHostKeyChecking=no YOUR_USERNAME@SOME_SITE.COMPrzykład niestandardowego portu:
sshpass -p "YOUR_PASSWORD" ssh -o StrictHostKeyChecking=no YOUR_USERNAME@SOME_SITE.COM:2400Uwagi:
sshpassmoże również odczytać hasło z pliku po przekazaniu -fflagi.
-fzapobiega wyświetleniu hasła, jeśli pspolecenie zostanie wykonane.ps -aux, nie powinieneś normalnie uruchamiać poleceń, wpisując swoje hasło, ponieważ inni użytkownicy na tym samym komputerze mogą zobaczyć hasło po uruchomieniu ps -aux. jeśli jest to praktyczne, zamiast tego należy również użyć uwierzytelniania za pomocą klucza publicznego, jak wspomniano w drugiej odpowiedzi. pozwala to oddzielić informacje uwierzytelniające od skryptu, abyś mógł bez obaw udostępniać skrypt innym użytkownikom, a następnie zdecydować się na włączenie szyfrowania w folderze ~ / .ssh bez szyfrowania skryptu.
Po miesiącach szukania odpowiedzi na pytanie, w końcu znalazłem lepsze rozwiązanie: napisanie prostego skryptu.
#!/usr/bin/expect
set timeout 20
set cmd [lrange $argv 1 end]
set password [lindex $argv 0]
eval spawn $cmd
expect "assword:"
send "$password\r";
interactWłóż to /usr/bin/exp, a następnie możesz użyć:
exp <password> ssh <anything>exp <password> scp <anysrc> <anydst>Gotowe!
Użyj uwierzytelniania za pomocą klucza publicznego: https://help.ubuntu.com/community/SSH/OpenSSH/Keys
Na hoście źródłowym uruchom to tylko raz:
ssh-keygen -t rsa # ENTER to every field
ssh-copy-id myname@somehostTo wszystko, po czym będziesz mógł robić ssh bez hasła.
Możesz użyć skryptu oczekuje. Od jakiegoś czasu nie napisałem żadnego, ale powinien wyglądać jak poniżej. Musisz kierować skryptem#!/usr/bin/expect
#!/usr/bin/expect -f
spawn ssh HOSTNAME
expect "login:"
send "username\r"
expect "Password:"
send "password\r"
interact/bin/myssh.sh: 2: spawn: not found /bin/myssh.sh: 3: expect: not found /bin/myssh.sh: 4: send: not found /bin/myssh.sh: 5: expect: not found /bin/myssh.sh: 6: send: not found
which expect
#!/usr/bin/env expect
interactdo końca, aby sesja ssh była interaktywna
Wariant I
sshpass -p PASSWORD ssh USER@SERVERWariant II
#!/usr/bin/expect -f
spawn ssh USERNAME@SERVER "touch /home/user/ssh_example"
expect "assword:"
send "PASSWORD\r"
interact-pFlaga jest do określania numeru portu.
SYNOPSIS sshpass [-ffilename|-dnum|-ppassword|-e] [options] command arguments
yum -y install epel-releasea następnieyum -y install sshpass
Jedną z miłych zalet wspomnianego wyżej sshpassjest to, że można go używać autossh, eliminując jeszcze więcej interaktywnej nieefektywności.
sshpass -p mypassword autossh -M0 -t myusername@myserver.mydomain.comUmożliwi to automatyczne połączenie, jeśli np. Twoje Wi-Fi zostanie przerwane przez zamknięcie laptopa.
-fdo autossh w tej kombinacji, ponieważ when used with autossh, ssh will be *unable* to ask for passwords or passphrases. harding.motd.ca/autossh/README.txt także superuser.com/questions/1278583/…
sshpass z lepszym bezpieczeństwemNatknąłem się na ten wątek, szukając sposobu, aby ssh przełączyć się na zawieszony serwer - przetworzenie próby połączenia SSH zajęło ponad minutę i upłynął limit czasu, zanim mogłem wprowadzić hasło. W takim przypadku chciałem móc podać hasło natychmiast po pojawieniu się monitu.
(A jeśli nie jest to boleśnie jasne: z serwerem w tym stanie jest o wiele za późno, aby skonfigurować login klucza publicznego.)
sshpassna pomoc. Istnieją jednak lepsze sposoby na rozwiązanie tego problemusshpass -p .
Moja implementacja przechodzi bezpośrednio do interaktywnego monitu o hasło (nie tracę czasu na sprawdzenie, czy może nastąpić wymiana klucza publicznego) i nigdy nie ujawnia hasła jako zwykłego tekstu.
#!/bin/sh
# preempt-ssh.sh
# usage: same arguments that you'd pass to ssh normally
echo "You're going to run (with our additions) ssh $@"
# Read password interactively and save it to the environment
read -s -p "Password to use: " SSHPASS
export SSHPASS
# have sshpass load the password from the environment, and skip public key auth
# all other args come directly from the input
sshpass -e ssh -o PreferredAuthentications=keyboard-interactive -o PubkeyAuthentication=no "$@"
# clear the exported variable containing the password
unset SSHPASStrapaby zapobiec wyciekaniu ctrl-C ze SSHPASSzmiennej
PreferredAuthentications=keyboard-interactiveto nie działa, ale zastąpienie go działaniem PreferredAuthentications=password.
# create a file that echo's out your password .. you may need to get crazy with escape chars or for extra credit put ASCII in your password...
echo "echo YerPasswordhere" > /tmp/1
chmod 777 /tmp/1
# sets some vars for ssh to play nice with something to do with GUI but here we are using it to pass creds.
export SSH_ASKPASS="/tmp/1"
export DISPLAY=YOURDOINGITWRONG
setsid ssh root@owned.com -p 22odniesienie: https://www.linkedin.com/pulse/youre-doing-wrong-ssh-plain-text-credentials-robert-mccurdy?trk=mp-reader-card
Chyba nie widziałem, żeby ktokolwiek to sugerował, a OP powiedział po prostu „skrypt”, więc ...
Musiałem rozwiązać ten sam problem, a moim najwygodniejszym językiem jest Python.
Użyłem biblioteki paramiko. Ponadto musiałem wydawać polecenia, dla których potrzebowałbym eskalowanych uprawnień sudo. Okazuje się, że sudo może zaakceptować swoje hasło poprzez stdin poprzez flagę „-S”! Patrz poniżej:
import paramiko
ssh_client = paramiko.SSHClient()
# To avoid an "unknown hosts" error. Solve this differently if you must...
ssh_client.set_missing_host_key_policy(paramiko.AutoAddPolicy())
# This mechanism uses a private key.
pkey = paramiko.RSAKey.from_private_key_file(PKEY_PATH)
# This mechanism uses a password.
# Get it from cli args or a file or hard code it, whatever works best for you
password = "password"
ssh_client.connect(hostname="my.host.name.com",
username="username",
# Uncomment one of the following...
# password=password
# pkey=pkey
)
# do something restricted
# If you don't need escalated permissions, omit everything before "mkdir"
command = "echo {} | sudo -S mkdir /var/log/test_dir 2>/dev/null".format(password)
# In order to inspect the exit code
# you need go under paramiko's hood a bit
# rather than just using "ssh_client.exec_command()"
chan = ssh_client.get_transport().open_session()
chan.exec_command(command)
exit_status = chan.recv_exit_status()
if exit_status != 0:
stderr = chan.recv_stderr(5000)
# Note that sudo's "-S" flag will send the password prompt to stderr
# so you will see that string here too, as well as the actual error.
# It was because of this behavior that we needed access to the exit code
# to assert success.
logger.error("Uh oh")
logger.error(stderr)
else:
logger.info("Successful!")Mam nadzieję, że to komuś pomoże. Moim przypadkiem użycia było tworzenie katalogów, wysyłanie i rozpakowywanie plików oraz uruchamianie programów na ~ 300 serwerach. Dlatego automatyzacja była najważniejsza. Próbowałem sshpass, expecta potem to wymyśliłem.
Mam to działa w następujący sposób
.ssh / config został zmodyfikowany w celu wyeliminowania monitu o tak / nie - jestem za firewallem, więc nie martwię się o sfałszowane klucze ssh
host *
StrictHostKeyChecking noUtwórz plik odpowiedzi dla expect, tj. Answer.expect
set timeout 20
set node [lindex $argv 0]
spawn ssh root@node service hadoop-hdfs-datanode restart
expect "*?assword {
send "password\r" <- your password here.
interactUtwórz skrypt bash i po prostu wywołaj expect w pliku
#!/bin/bash
i=1
while [$i -lt 129] # a few nodes here
expect answer.expect hadoopslave$i
i=[$i + 1]
sleep 5
donePobiera 128 kodów danych hadoop odświeżonych dzięki nowej konfiguracji - przy założeniu, że używasz podłączenia NFS dla plików hadoop / conf
Mam nadzieję, że to komuś pomoże - jestem Windows numpty i zajęło mi to około 5 godzin!
Jeśli robisz to w systemie Windows, możesz użyć Plink (część PuTTY).
plink your_username@yourhost -pw your_passwordMam lepsze rozwiązanie, które obejmuje logowanie do konta niż zmiana na użytkownika root. To jest skrypt bashowy
http://felipeferreira.net/index.php/2011/09/ssh-automatic-login/
Odpowiedź @abbotto nie działała dla mnie, musiała robić kilka rzeczy inaczej:
Udało mi się z tym pracować:
SSH_ASKPASS="echo \"my-pass-here\""
ssh -tt remotehost -l myusernameW poniższym przykładzie napiszę rozwiązanie, którego użyłem:
Scenariusz: chcę skopiować plik z serwera za pomocą skryptu sh:
#!/usr/bin/expect
$PASSWORD=password
my_script=$(expect -c "spawn scp userName@server-name:path/file.txt /home/Amine/Bureau/trash/test/
expect \"password:\"
send \"$PASSWORD\r\"
expect \"#\"
send \"exit \r\"
")
echo "$my_script"Użyj tego skryptu w skrypcie, Pierwszy argument to nazwa hosta, a drugi to hasło.
#!/usr/bin/expect
set pass [lindex $argv 1]
set host [lindex $argv 0]
spawn ssh -t root@$host echo Hello
expect "*assword: "
send "$pass\n";
interact"Aby podłączyć zdalną maszynę za pomocą skryptów powłoki, użyj poniższego polecenia:
sshpass -p PASSWORD ssh -o StrictHostKeyChecking=no USERNAME@IPADDRESSgdzie IPADDRESS, USERNAMEa PASSWORDto wartości wejściowe, które muszą dostarczyć w skrypcie, albo jeśli chcemy zapewnić w użyciu wykonawczego „read” polecenie.
StrictHostKeyChecking=nobez wyjaśnienia konsekwencji.
sudo ssh username@server_ip_address -p port_numbernaciśnij klawisz enter, a następnie wprowadź hasło systemowe, a następnie na koniec hasło serwera