ssh sudo 免密登录 ssh免密登录执行shell

ssh连接远程主机时候询问密码，跟su、sudo命令的默认行为一样，是不从stdin读入数据的，据称是为安全考虑，但是有时候在脚本当中确实需要无人守值的登陆。

搜索一下不难找到类似的例子，使用expect来完成密码应答：

#!/bin/bash
auto_login_ssh () {
    expect -c "set timeout -1;
                spawn -noecho ssh -o StrictHostKeyChecking=no $2 ${@:3};
                expect *assword:*;
                send -- $1\r;
                interact;";
}

auto_login_ssh passwd user@host

StrictHostKeyChecking=no参数让ssh默认添加新主机的公钥指纹，也就不会出现出现是否继续yes/no的提示了。

expect很不错，上述代码基本可以达到要求了，执行远程命令等等，但是如果作为一个完全非交互的远程工具，应该说还一差，不能返回整个连接执行过程是否成功。

使用expect后，程序的exit status是expect的，而不是ssh的，所以如果遇上连接不到的主机、密码错误等情况，expect也一样是正常退出，$?为0，所以需要对expect的代码稍加修改；

#!/bin/bash
auto_smart_ssh () {
    expect -c "set timeout -1;
                spawn ssh -o StrictHostKeyChecking=no $2 ${@:3};
                expect {
                    *assword:* {send -- $1\r;
                                 expect {
                                    *denied* {exit 2;}
                                    eof
                                 }
                    }
                    eof         {exit 1;}
                }
                "
    return $?
}

auto_smart_ssh passwd user@host ls /var
echo -e "\n---Exit Status: $?"

这段expect的Tcl代码主要作用是，如果在输入密码后遇到Permission denied，肯定是脚本提供的帐号有问题，就直接让expect按状态2退出；而如果主机不可达No route to host, timed out, Connection refused等情况，ssh会直接退出，expect收到eof，让其按状态1退出。而因为这个设计本来就用于执行远程命令后退出，不需要用户交互，所以第9行的eof则是让expect等待ssh退出，而不是不是进行interact了。

有这样的处理，使用autosmartssh的脚本就可以根据返回值判断执行过程的是否成功，而进行相应处理了。

openssh里面另外一个很好用的远程文件传输工具scp，也以如法炮制：

auto_scp () {
    expect -c "set timeout -1;
                spawn scp -o StrictHostKeyChecking=no ${@:2};
                expect {
                    *assword:* {send -- $1\r;
                                 expect {
                                    *denied* {exit 1;}
                                    eof
                                 }
                    }
                    eof         {exit 1;}
                }
                "
    return $?
}

auto_scp pass ~/myfile user@host:~/path/to/myfile
echo $?

后话：
如果仅仅是日常使用，为了避免经常输入主机密码的麻烦，最理想的方法是生产本机的公/私密钥对，把指纹直接复制到远程主机上，较新的openssh提供了ssh-copy-id工具：
ssh-keygen
ssh-copy-id user@host1
ssh-copy-id user@host2
ssh-copy-id user@host3

运行ssh-keygen时会问几个问题，全部回车默认就是我们要的效果了，分别把密钥分发到远程主机后，以后执行ssh user@host，还是scp，都是直接完成了。

如果需要删除远程机器上对应本机本账户的密钥，登陆到该账户，打开~/.ssh/authorized_keys文件，搜索你的用户名，删除那行，保存，即可。

当然也可以自动化：

auto_ssh_copy_id () {
    expect -c "set timeout -1;
                spawn ssh-copy-id $2;
                expect {
                    *(yes/no)* {send -- yes\r;exp_continue;}
                    *assword:* {send -- $1\r;exp_continue;}
                    eof        {exit 0;}
                }";
}

另外，还有4中常用的命令方式实现免输入密码登录：

1. 自动ssh/scp方法 
 A为本地主机(即用于控制其他主机的机器) ; 
 B为远程主机(即被控制的机器Server), 假如ip为192.168.60.110; 
 A和B的系统都是Linux 
 在A上运行命令: 
 # ssh-keygen -t rsa (连续三次回车,即在本地生成了公钥和私钥,不设置密码) 
 # ssh root@192.168.60.110 “mkdir .ssh” (需要输入密码) 
 # scp ~/.ssh/id_rsa.pub root@192.168.60.110:.ssh/id_rsa.pub (需要输入密码) 
 在B上的命令: 
 # touch /root/.ssh/authorized_keys (如果已经存在这个文件, 跳过这条) 
 # cat /root/.ssh/id_rsa.pub >> /root/.ssh/authorized_keys (将id_rsa.pub的内容追加到authorized_keys 中) 
 回到A机器: 
 # ssh root@192.168.60.110 (不需要密码, 登录成功) 
 2. 控制n个机器如上所述自动登录 
 那就需要n对钥匙(密钥和公钥), ssh-keygen 命令可以随意更改钥匙对的名字, 比如: 
 # ssh-keygen -t rsa 
 Generating public/private rsa key pair. 
 Enter file in which to save the key (/root/.ssh/id_rsa): /root/.ssh/id_rsa_192.168.60.110 
 这样私钥和公钥的名字分别就是: id_rsa_192.168.60.110和 id_rsa_192.168.60.110.pub;然后将 id_rsa_192.168.60.110.pub 文件的内容, 追加到sever的 ~/.ssh/authorized_keys文件中,最后, 在本地用ssh命令的 -i 参数指定本地密钥, 并登录: 
 # ssh -i /root/.ssh/id_rsa_192.168.60.110 someone@192.168.60.110 
 scp也是一样的 
 # scp -i /root/.ssh/id_rsa_192.168.60.110 filename someone@192.168.60.110:/home/someone 
 在文件.bashrc中加下两行，每次做同样的操作就不用敲入这样长的命令了： 
 alias sshcell=’ssh -i /root/.ssh/id_rsa_192.168.60.110 someone@192.168.60.110’ 
 alias scpcell=’scp -i /root/.ssh/id_rsa_192.168.60.110 filename someone@192.168.60.110:/home/someone’ 
 这样，直接键入一下指令实现ssh和scp自动登录： 
 # sshcell 
 # scpcell 
 3. 自动ssh/scp脚本 
 如果需要从A，到B，然后才能够到C，那么需要ssh和scp两次，是比较麻烦的。 
 ssh自动登录： 
 #!/usr/bin/expect -f 
 set timeout 30 
 spawn ssh weiqiong@B 
 expect “password:” 
 send “ppppppr” 
 expect “]*” 
 send “ssh weiqiong@Cr” 
 expect “password:” 
 send “ppppppr” 
 interact 
 scp从A拷贝文件到C： 
 #!/usr/bin/expect -f 
 set timeout 300 
 set file [lindex argv0]spawnscpfile weiqiong@B:/home/weiqiong 
 expect “password:” 
 send “ppppppr” 
 expect “]*” 
 spawn ssh weiqiong@B 
 expect “password:” 
 send “ppppppr” 
 expect “]*” 
 send “scp file weiqiong@C:/home/weiqiongr”  
    expect “password:”  
    send “ppppppr”  
    expect “]*”  
    exit  
    interact  
scp从C拷贝文件到A：  
    #!/usr/bin/expect -f  
    set timeout 300  
    set file [lindexargv 0] 
 spawn ssh weiqiong@B 
 expect “password:” 
 send “ppppppr” 
 expect “]*” 
 send “scp weiqiong@C:/home/weiqiong/file.r”expect“password:”send“ppppppr”expect“]∗”send“exitr”expect“]∗”spawnscpweiqiong@B:/home/weiqiong/file . 
 expect “password:” 
 send “ppppppr” 
 interact 
 4. 建立ssh/scp通道 
 比如说我的机器是A，中间服务器为B，目标服务器是C 
 从A可以ssh到B，从B可以ssh到C，但是A不能直接ssh到C 
 现在展示利用ssh通道技术从A直接传输文件到C 
 1. ssh -L1234:C:22 userid@B 
 input B’s password 
 (1234是本机A的空闲端口，该指令需要A机器上的root用户权限，实际上是在本机1234端口建立了一个通道) 
 2. 打开一个新的console，键入： 
 scp -P1234 filename userid@localhost: 
 input C’s password