Linux命令ssh-copy-id (r10笔记第21天)

作者: admin 分类: 公众号存档            2 次浏览 发布时间: 2016-09-13 23:50

公众号:杨建荣的学习笔记 · 作者:杨建荣 · 发布:2016-09-13 23:50:11 · 原文链接

在N多年前,搭建Oracle RAC环境的时候,其中有一项非常艰巨的任务就是配置节点服务器的互信关系,每次到了这个部分的时候就有点晕,因为文件需要在两个节点间拷过来,拷过去。 每次到了这个部分,就需要打开我的攻略笔记,然后严格按照上面的步骤来完成。到了OCM考试的时候,当时Oracle是提供了一个建立互信关系的脚本,直 接运行即可。搭建的过程省事不少。到了11g的RAC搭建中,在检查项中有一个就是建立互信关系,只需要在界面上点击即可完成。可见互信关系的建立过程是 越来越简化了。
    当然回到工作环境中,如果两台服务器需要建立互信关系,那么需要做的就是拷贝秘钥信息,这个工作就得手工来完成,有时候感觉真是麻烦,但是又无可奈何。
一般建立单向信任关系的步骤如下:
    1)检查是否有秘钥生成,如果没有则使用ssh-keygen -t rsa来生成即可。
    2)拷贝id_rsa.pub的信息,稍后使用。
    3)  ssh连接到目标服务器,然后到.ssh/authorized_keys文件中添加拷贝的id_rsa.pub的内容即可
    4)退出当前窗口,重新登录验证,是否可以无密码通信
最近还是看《Linux大棚》里面有讲到ssh-copy-id这个神器,看完之后有一种全然一新的感觉,感觉我们之前的处理似乎还是有些老套了。 ssh-copy-id可以直接运行这一个命令即可完成上面的步骤,所以这个命令确实是个好东西,难得的是这个命令本身是个shell脚本,所以索性拿来 学学。
脚本的内容如下:

  1. #!/bin/sh

  2.     # Shell script to install your public key on a remote machine

  3.     # Takes the remote machine name as an argument.

  4.     # Obviously, the remote machine must accept password authentication,

  5.     # or one of the other keys in your ssh-agent, for this to work.

  6.     ID_FILE=”${HOME}/.ssh/id_rsa.pub”

  7.     if [ “-i” = “$1” ]; then

  8.       shift

  9.       # check if we have 2 parameters left, if so the first is the new ID file

  10.       if [ -n “$2” ]; then

  11.         if expr “$1” : “.*\.pub” > /dev/null ; then

  12.           ID_FILE=”$1″

  13.         else

  14.           ID_FILE=”$1.pub”

  15.         fi

  16.         shift # and this should leave $1 as the target name

  17.       fi

  18.     else

  19.       if [ x$SSH_AUTH_SOCK != x ] ; then

  20.         GET_ID=”$GET_ID ssh-add -L”

  21.       fi

  22.     fi

  23.     if [ -z “`eval $GET_ID`” ] && [ -r “${ID_FILE}” ] ; then

  24.       GET_ID=”cat ${ID_FILE}”

  25.     fi

  26.     if [ -z “`eval $GET_ID`” ]; then

  27.       echo “$0: ERROR: No identities found” >&2

  28.       exit 1

  29.     fi

  30.     if [ “$#” -lt 1 ] || [ “$1” = “-h” ] || [ “$1” = “–help” ]; then

  31.       echo “Usage: $0 [-i [identity_file]] [user@]machine” >&2

  32.       exit 1

  33.     fi

  34.     { eval “$GET_ID” ; } | ssh $1 “umask 077; test -d ~/.ssh || mkdir ~/.ssh ; cat >> ~/.ssh/authorized_keys && (test -x /sbin/restorecon && /sbin/restorecon ~/.ssh ~/.ssh/authorized_keys >/dev/null 2>&1 || true)” || exit 1

  35.     cat <<EOF

  36.     Now try logging into the machine, with “ssh ‘$1′”, and check in:

  37.       .ssh/authorized_keys

  38.     to make sure we haven’t added extra keys that you weren’t expecting.

  39.     EOF

其实看完之后,发现里面确实有不少的内容,命令格式,新的命令都值得学习。
shift是个蛮有意思的命令,可以在不知道位置变量个数的情况下,还能逐个把参数一一处理。

restorecon命令用来恢复SELinux文件属性即恢复文件的安全上下文。
整个脚本中花了大篇幅来处理输入参数,可以手工指定秘钥文件,还有扩展名补全的功能。比如调用脚本的方式如下:
ssh-copy-id -i aaa  test@test.com
这种情况下,脚本会把aaa自动补全扩展名,脚本就会查找aaa.pub的秘钥文件。
里面最核心的是下面的一句,运行后会提示输入密码。
$ { eval “$GET_ID” ; } |  ssh 10.127.133.125 “umask 077;test -d ~/.ssh || mkdir ~/.ssh ; cat >> ~/.ssh/authorized_keys && (test -x /sbin/restorecon && /sbin/restorecon ~/.ssh ~/.ssh/authorized_keys >/dev/null 2>&1 || true)” || exit 1
oracle@10.127.133.125’s password:
可以看到整个脚本有很多需要考虑的细节,值得玩味。
当然大道至简,这个脚本的本质就是传输id_rsa.pub并不会自动帮你去生成id_rsa.pub,最核心的功能就是把秘钥信息写入.ssh/authorized_keys中。
所以整个过程的简化版思路就是下面的一个类似的命令形式。
$ echo “aaaaa”|ssh 10.127.133.125 “cat”
oracle@10.127.133.125’s password:
aaaaa
echo “aaaaa”会输出秘钥信息,然后通过管道作为ssh到目标端的参数值调用
所以这个过程也完全可以自己定义命令来完成。
明白了这些,很多工具就会脱离开神圣的外衣,而对于我们来说,明白了核心的部分,就需要学习哪些场景没有考虑周到,不断去补充,不断完善。

admin

杨建荣,《Oracle DBA工作笔记》《MySQL DBA工作笔记》作者,dbaplus社群发起人之一,腾讯云TVP,现任竞技世界系统部经理,拥有十多年数据库开发和运维经验,目前专注于开源技术、运维自动化和性能调优

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注