免密码交互方式+ansible批量管理服务介绍

介绍了ssh服务

1） 远程连接加密传输数据协议，实现远程连接登录，默认端口22
2）ssh远程连接原理
依赖于锁头（公钥）和钥匙（私钥），实现远程加密连接
3）ssh基于秘钥远程登录原理
a 管理服务器创建秘钥対，将公钥传输发送给给管理端
b 管理端请求与被管理端建立连接
c 被管理向管理端发送公钥质询
d 管理端处理质询信息，实现管理与被管理端免密码交互
4）基于ssh协议相关命令
ssh scp sftp

netstat -lntup |egrep sshd 查看ssh端口

1.1 部署ssh+key （免密码交互方式） 架构换环境

确认一下部署架构环境
管理服务器：m01
被管理服务器： web01 nfs01 backup

架构部署（ssh+key）
第一个里程：在管理服务器上创建秘钥対
两种创建秘钥对方法：
a 利用交互方式创建秘钥对
[root@m01 ~]# ssh-keygen -t dsa
Generating public/private dsa key pair.                    --- 提示进行秘钥对创建
Enter file in which to save the key (/root/.ssh/id_dsa):   --- 提示私钥文件保存在什么位置，进行确认
Enter passphrase (empty for no passphrase):                --- 是否给私钥文件进行加密处理
Enter same passphrase again:
Your identification has been saved in /root/.ssh/id_dsa.   --- 提示私钥文件最终保存路径
Your public key has been saved in /root/.ssh/id_dsa.pub.   --- 提示公钥文件最终保存路径
The key fingerprint is:                                    --- 以下内容表示秘钥指纹信息提示
0b:d2:c0:14:3c:9b:9d:de:1b:d8:3a:c6:92:f9:39:d5 root@m01
The key's randomart image is:
+--[ DSA 1024]----+
|   .o.           |
|   oo            |
|    o= .         |
|    ooo          |
|    ..o+S.       |
|     .o.=.E      |
|     + o.o       |
|    + *..        |
|     +oo         |
+-----------------+

b 利用免交互方式创建秘钥对
a 交互方式位置：需要确认私钥文件保存路径
-f filename  Specifies the filename of the key file.
-f "/root/.ssh/id_dsa"
b 交互方式位置：需要进行私钥文件加密确认
-N new_passphrase    Provides the new passphrase.
-P passphrase        Provides the (old) passphrase.
-N ""
ssh-keygen -t dsa -f "/root/.ssh/id_dsa" -N ""
ssh-keygen -t dsa -f "/root/.ssh/id_dsa" -N "" -q

第二个里程：在管理服务器上分发公钥给被管理端服务器
a 利用交互方式实现公钥分发
ssh-copy-id [-i [identity_file]] [user@]machine
ssh-copy-id -i /root/.ssh/id_dsa.pub  172.16.1.41

ssh-copy-id -i /root/.ssh/id_dsa.pub  172.16.1.31

ssh-copy-id -i /root/.ssh/id_dsa.pub  172.16.1.8

[root@m01 ~]# ssh-copy-id -i /root/.ssh/id_dsa.pub  172.16.1.41

The authenticity of host '172.16.1.41

(172.16.1.41

)' can't be established.
RSA key fingerprint is 59:41:4e:36:ae:75:83:01:23:93:7b:c8:68:ff:37:9f.
Are you sure you want to continue connecting (yes/no)? yes --- 确认是否接受连接主机公钥信息
Warning: Permanently added '172.
.1.41

' (RSA) to the list of known hosts.
root@172.16.1.41's password: --- 首次连接需要基于口令连接
Now try logging into the machine, with "ssh '172.16.1.41

'", and check in:

.ssh/authorized_keys

to make sure we haven't added extra keys that you weren't expecting.

[root@m01 ~]# ssh 172.16.1.41

--- 进行连接测试，已经可以免密码登录远程主机
Last login: Tue Dec  5 12:02:48 2017 from 10.0.0.253

[root@backup ~]# exit   退出当前客服端

[root@m01 ~]# ssh 172.16.1.41

uptime --- 可以不用登录主机，利用命令直接查看远程主机信息
09:52:05 up 9:02, 1 user, load average: 0.00, 0.00, 0.00

问题：如果客户端默认ssh端口发生变化，如何进行分发公钥
查看ssh-copy-id脚本文件信息
ssh $1 "exec sh -c 'cd; umask 077; test -d .ssh || mkdir .ssh ; cat >> .ssh/
authorized_keys && (test -x /sbin/restorecon && /sbin/restorecon .ssh .ssh/authorized_keys >/dev/nu
ll 2>&1 || true)'" || exit 1

a 临时修改umask值信息为077
b 判断.ssh目录是否存在，如果没有不存在，创建.ssh目录
c 把管理端公钥文件中的内容复制到被管理端~/.ssh/authorized_keys文件中，设置权限为600
666-077=6 -1 -1 = 600

处理问题方法一：直接修改脚本
ssh -p52113 $1 "exec sh -c 'cd; umask 077; test -d .ssh || mkdir .ssh ; cat >> .ssh/
authorized_keys && (test -x /sbin/restorecon && /sbin/restorecon .ssh .ssh/authorized_keys >/dev/nu
ll 2>&1 || true)'" || exit 1

处理问题方法二：直接利用命令参数实现
ssh-copy-id -i /root/.ssh/id_dsa.pub  "172.16.1.8 -p52113"

问题：如果客户端默认ssh端口发生变化，如何进行分发公钥
查看ssh-copy-id脚本文件信息
ssh $1 "exec sh -c 'cd; umask 077; test -d .ssh || mkdir .ssh ; cat >> .ssh/
authorized_keys && (test -x /sbin/restorecon && /sbin/restorecon .ssh .ssh/authorized_keys >/dev/nu
ll 2>&1 || true)'" || exit 1

a 临时修改umask值信息为077
b 判断.ssh目录是否存在，如果没有不存在，创建.ssh目录
c 把管理端公钥文件中的内容复制到被管理端~/.ssh/authorized_keys文件中，设置权限为600
666-077=6 -1 -1 = 600

处理问题方法一：直接修改脚本
ssh –p22 $1 "exec sh -c 'cd; umask 077; test -d .ssh || mkdir .ssh ; cat >> .ssh/
authorized_keys && (test -x /sbin/restorecon && /sbin/restorecon .ssh .ssh/authorized_keys >/dev/nu
ll 2>&1 || true)'" || exit 1

处理问题方法二：直接利用命令参数实现
ssh-copy-id -i /root/.ssh/id_dsa.pub  "172.16.1.8 -p52113"
说明：正确理解是
-i                      为$1
/root/.ssh/id_dsa.pub   为$2
172.16.1.8

为$3
但是ssh-copy-id脚本文件中出现了两次shift参数，所以最终导致172.16.1.8

的$3变为了$1

理解shift脚本命令用法
[root@m01 scripts]# vim test_shift.sh

#!/bin/bash
until [ $# -eq 0 ]
do
echo $*
shift
done

[root@m01 scripts]# sh test_shift.sh

1 2 3 4 5 6
1 2 3 4 5 6
2 3 4 5 6
3 4 5 6
4 5 6
5 6
6

b 第一次远程连接需要基于口令认证
sshpass -p 123456 ssh-copy-id -i /root/.ssh/id_dsa.pub  "172.16.1.8 -p22 -o StrictHostKeyChecking=no"
Now try logging into the machine, with "ssh '172.16.1.8

-p52113 -o StrictHostKeyChecking=no'", and check in:

.ssh/authorized_keys

to make sure we haven't added extra keys that you weren't expecting.

第三个里程碑：如何实现公钥批量分发，秘钥对自动生成
编写脚本实现公钥批量分发

[root@m01 scripts]# cat fenfa_check.sh
#!/bin/bash

var info
Password_info=123456
Server_Port=22
Cmd_info=$1

push public key to client server
for ip in 8 31 41
do
echo "================= host 172.16.1.$ip check_info ================="
ssh -p$Server_Port 172.16.1.$ip $Cmd_info
echo ""
done

[root@m01 scripts]# cat fenfa_keygen.sh
#!/bin/bash

var info
Password_info=123456
Server_Port=22

create key pair
rm /root/.ssh/id_dsa* -f
ssh-keygen -t dsa -f "/root/.ssh/id_dsa" -N "" -q

push public key to client server
for ip in 8 31 41
do
echo "================= host 172.16.1.$ip info ================="
sshpass -p $Password_info ssh-copy-id -i /root/.ssh/id_dsa.pub "172.16.1.$ip -p$Server_Port -o StrictHostKeyChecking=no"
echo "================= host info end ================="
echo ""
done

[root@m01 scripts]# cat test_shift.sh
#!/bin/bash

until [ $# -eq 0]
do
echo $*
shift
done
安装免密码sshpass

ansible批量管理服务介绍

软件由python语言开发
其功能实现基于SSH远程连接服务
可以实现批量系统配置、批量软件部署、批量文件拷贝、批量运行命令等功能

ansible软件参考资料

说明信息：
ansible软件相关参考链接信息
http://docs.ansible.com/ansible/intro_installation.html
http://www.ansible.com.cn/
http://docs.ansible.com/modules_by_category.html
http://www.ansible.cn/docs/

2.1 ansible软件特点

a 不需要单独安装客户端（no agents），基于系统自带的sshd服务，sshd就相当于ansible的客户端。
b 不需要服务端(no servers)
c 需要依靠大量的模块实现批量管理。
d 配置文件/etc/ansible/ansible.cfg,不用配置

2.2 安装部署ansible

管理端部署：
yum install -y ansible --- ansible软件也来自epel源

被管理端部署：
yum install libselinux-python -y --- 被管理端需要进行安装的软件（不安装看看会不会遇到问题）

2.3 配置ansible

vim /etc/ansible/hosts
[oldboy]
172.16.1.8
172.16.1.41
172.16.1.31
说明：才文件用来定义ansible可以管理的主机信息（IP地址或者域名）

变态需求：不想分发ssh-key公钥，又想利用ansible批量管理
[root@oldboy.com ~]# cat /etc/ansible/hosts
[test]
172.16.1.7 ansible_ssh_user=root ansible_ssh_pass=123456
172.16.1.31 ansible_ssh_user=root ansible_ssh_pass=123456
172.16.1.41 ansible_ssh_user=root ansible_ssh_pass=123456
说明：后面的用户和密码项是非必须的，在配置key认证的情况下，不使用密码也可以直接操作 。
未使用key的，也可以在ansible通过 -k参数在操作前询问手动输入密码。

2.4 利用ansible命令进行远程管理了

ansible命令语法
ansible oldboy -m command -a "hostname" --- 实现ansible第一次批量管理功能

ansible测试管理端与被管理端连通性命令
[root@m01 scripts]# ansible oldboy -m ping
172.16.1.31 | SUCCESS => {
"changed": false,
"failed": false,
"ping": "pong"
}
172.16.1.8 | SUCCESS => {
"changed": false,
"failed": false,
"ping": "pong"
}
172.16.1.41 | SUCCESS => {
"changed": false,
"failed": false,
"ping": "pong"
}
常见的报错
172.16.1.31 | UNREACHABLE! => {
"changed": false,
"msg": "Failed to connect to the host via ssh: Permission denied (publickey,password).\r\n",
"unreachable": true
}
172.16.1.41 | UNREACHABLE! => {
"changed": false,
"msg": "Failed to connect to the host via ssh: Permission denied (publickey,password).\r\n",
"unreachable": true
}
解决方式
sshpass -p 123456 ssh-copy-id -i /root/.ssh/id_dsa.pub "172.16.1.8 -p52113 -o StrictHostKeyChecking=no"
ansible oldboy -m command -a "hostname"