集群批量管理-秘钥认证

概述

• 管理更加轻松：两个节点，通过秘钥认证形成进行访问，不需要输入密码，单向
• 服务要求（应用场景）：
  一些服务在使用前要求我们做秘钥认证
  手动写批量管理脚本
• 名字：秘钥认证，免密码登录，双机互信
  提示：秘钥认证是单向的

ssh秘钥认证流程（原理）

密钥对

公钥：public key 一般以.pub结尾

私钥：private key

角色 主机名 ip
管理机 m01 192.168.28.61
被管理节点 nfs01 192.168.28.131
被管理节点 web01 192.168.28.7
被管理节点 backup 192.168.28.41

检查

#ping
ping 172.16.1.xxx#22端口 sshd服务开启或可以访问
[root@m01 ~]#nmap -p22 172.16.1.131 172.16.1.7

创建密钥对

ssh-keygen -t rsa

测试是否连接成功ssh 192.168.28.131 hostname

1. 创建密钥对
2. 给这密钥对进行加密码
3. 身份证进行

cd /root/.ssh


一定要保护好私钥，如果私钥，用户名，服务器id 就不安全（密钥进行认证）

创建1次密钥，否则多次创建密钥对会出现覆盖，认证失效

分发公钥

• 分发公钥–》管理谁分发给谁，不需要密码，可以分发给公有云，私有云，虚拟机都可以进行连接
• ssh-copy-id -i /root/.ssh/id_rsa.pub root@192.168.28.131
  
  
  检查
  
  
  ssh-copy-id 后公钥被存放在对方的服务器的用户的家目录下面的.ssh下面

自动化创建密钥对

root@m01 ~]#ssh-keygen -t rsa -f ~/.ssh/id_rsa -P ‘’

• -发用于指定私钥的位置
• -P 密码短语，设置为空

自动化分发公钥

阻碍：密码

- 安装密码提示公钥yum install -y sshpasssshpass命令基本使用
-p指定密码
sshpass -p123 ssh 192.168.28.7 hostname -I
192.168.28.7 172.16.1.7- 使用sshpass 与ssh-copy-id分发给公钥
- sshpass -p1    ssh-copy-id  192.168.28.131

直接回车创建完成！！！

sshpass 与ssh-copy-id的时候如果第一次连接，提示yes/no，sshpass失效了

• sshpass适用于相给ssh相关命令提供密码：ssh，scp，ssh-copy-id

• expect（语言）用与非交互式判断及认证

• 阻碍：第1次连接的时候提示yes/no，主机密钥信息检查，输入yes后存放到~/.ssh/know_hosts

解决思路：临时取消即可，连接的时候不检查主机信息

-o StrictHostKeyCheckin=no 临时不检查主机信息

sshpass -p1 ssh-copy-id -i ~/.ssh/id_rsa.pub -oStrictHostKeyChencking=no 192.168.28.41

执行脚本

[root@m01 ~]#vim /server/scripts/fenfa.sh#/bin/bash
#author:wulin
#version: v1
#desc:一键进行创建密钥对，并且分发密钥#var
pass=123
ips="192.168.28.7 192.168.28.131 192.168.28.51"
. /etc/init.d/functions#判断互联网是否联网或是可以使用yum#加入判断sshpass命令是否存在，如果不存在则进行安装#创建密钥对
if [ -f ~/.ssh/id_rsa ] ;thenecho "已经创建过密钥对..."
elseecho"正在创建密钥对..."ssh-keygen -t rsa -f ~/.ssh/id_rsa    -P ''  &>/dev/nullif [ $? -eq 0 ];thenaction "密钥创建成功" /bin/trueelseaction "密钥创建失败" /bin/falsefi
fi#通过循环发送公钥
for ip in $ips
dosshpass -p${pass} ssh-copy-id -i ~/.ssh/id_rsa.pub -oStrictHostKeyChecking=no ${ip} &>/dev/nullif [ $? -eq 0 ];thenaction "$ip 公钥分发 成功" /bin/trueelseaction "$ip 公钥失败 失败" /bin/falsefi
done
-- 插入 --        

测试自动化创建密钥的脚本结果
再次执行脚本：

检查脚本：

执行脚本:

更多内容请关注小编！！！