我想SSH在脚本中使用,但这个脚本不会在我的机器上执行。
在我的实现中有两个限制。
- 我不能在 shell 的标准之外工作,因此我不能使用
expect,因为我不知道它是否可以在这台机器上使用。 - 我不能指望这台机器会
public keys为SSH.
有哪些可能的解决方案?
如何在不添加额外依赖项的情况下以自动化和安全的方式为 ssh 提供请求的密码?
是否可以在脚本中提供密码?
谢谢大家 :)
问问题
116434 次
5 回答
29
安装 sshpass,然后启动命令:
sshpass -p "yourpassword" ssh -o StrictHostKeyChecking=no yourusername@hostname
于 2013-06-05T12:48:50.723 回答
17
出于安全原因,您必须避免在命令行上提供密码,否则任何运行 ps 命令的人都可以看到您的密码。最好像这样使用sshpass实用程序:
#!/bin/bash
export SSHPASS="your-password"
sshpass -e ssh -oBatchMode=no sshUser@remoteHost
于 2013-06-05T13:01:30.667 回答
11
首先:除非您知道为什么这样做是安全的(即您已经评估了知道该秘密的攻击者可以造成什么损害),否则不要以明文形式公开秘密。
如果您可以在脚本中添加秘密,您可以使用它发送一个 ssh 密钥并在ssh-agentshell 中执行:
#!/usr/bin/env ssh-agent /usr/bin/env bash
KEYFILE=`mktemp`
cat << EOF > ${KEYFILE}
-----BEGIN RSA PRIVATE KEY-----
[.......]
EOF
ssh-add ${KEYFILE}
# do your ssh things here...
# Remove the key file.
rm -f ${KEYFILE}
使用 ssh 密钥的一个好处是您可以轻松地使用强制命令来限制密钥持有者可以在服务器上执行的操作。
更安全的方法是让脚本运行ssh-keygen -f ~/.ssh/my-script-key以创建专用于此目的的私钥,但是您还需要一个例程来将公钥添加到服务器。
于 2013-06-05T10:33:31.457 回答
1
AFAIK 除了使用密钥之外没有任何可能性,或者如果您使用的是命令行版本ssh。但是大多数编程语言都有库绑定,比如 C、python、php、...。你可以用这种语言编写程序。这样就可以自动传递密码。但请注意,这当然是一个安全问题,因为密码将以纯文本形式存储在该程序中
于 2013-06-05T10:21:45.910 回答
0
我完全同意每个人说这几乎可以肯定是一个糟糕的想法。极有可能允许其他人攻击您的计算机。
评估安全隐患后自行承担使用风险
回答
制作一个/path/to/saypass输出密码的程序,例如
#!/bin/sh
echo 'secret'
使其可执行
chmod +x /path/to/saypass
然后这是主要命令:
SSH_ASKPASS="/path/to/saypass" DISPLAY=anything setsid ssh username@hostname [farcommand]
这个
- 设置两个环境变量
SSH_ASKPASS和DISPLAY- 然后运行
setsid- 然后在
ssh没有控制终端的情况下 运行- 连接到远处
hostname - ...在
saypass本地运行以获取密码 - ...告诉远端服务器
- ...并假设它是正确的
- 然后运行
farcommand(如果给定)或交互式外壳。
- 然后运行
- 连接到远处
- 然后在
- 然后运行
我通常使用date或测试hostname可选的farcommand.
有很多地方会出错。
解释
诀窍在于标准 Linux 命令行ssh有几个环境变量,您可以使用它们来选择一个程序,该程序将被执行以提供密码。
ssh(1)手册页说:
SSH_ASKPASS如果ssh需要密码,如果它是从终端运行的,它将从当前终端读取密码。 如果ssh没有与之关联的终端但已设置DISPLAY,SSH_ASKPASS它将执行指定的程序SSH_ASKPASS并打开 X11 窗口以读取密码。
所以:你需要一个程序(shell脚本或任何其他类型)来输出密码。然后你需要说服ssh使用它:
- 设置
SSH_ASKPASS为/path/to/saypass DISPLAY设置为愚蠢的东西- 没有控制终端(这是什么
setsid)
您将其放在以下sh命令中:
SSH_ASKPASS="/path/to/saypass" DISPLAY=anything setsid ssh username@hostname [command]
ssh将执行
/path/to/saypass "username@hostname's password:"
指纹检查
如果需要指纹,您通常会在此处看到消息
The authenticity of host '*hostname* (*ipaddress*)' can't be established.
ECDSA key fingerprint is SHA256:xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx.
Are you sure you want to continue connecting (yes/no)?
然后ssh将像这样运行您的命令:
/path/to/saypass "Please type 'yes' or 'no':"
多合一脚本
以下是用于在主脚本中创建、使用和删除 a 的单个saypass脚本。每个人都会告诉你不要将明文密码放在文件中,也不要硬编码密码。他们告诉你这是有充分理由的:这会给你带来很多麻烦。使用风险自负。
#!/bin/sh
echo "#!/bin/sh\necho 'secret';rm -f /tmp/saypass.$$" > /tmp/saypass.$$
chmod 775 /tmp/saypass.$$
SSH_ASKPASS="/tmp/saypass.$$" DISPLAY=anything setsid ssh "$@"
SCP
这也适用于scp,上面的复制程序ssh:
SSH_ASKPASS=/path/to/saypas DISPLAY=anything setsid scp username@hostname:/path/to/farfile .
警告
真的不要使用这个,除非在可怕、可怕的情况下,比如你有数百台电脑,你不能安装像 ssh 密钥这样的东西,sshpass甚至expect.
如果您确实使用它,请不要告诉任何人我告诉过您如何使用它。这真的很可怕。
我不知道手册页关于“打开 X11 窗口”的含义,在我的测试中没有发生这样的事情。
经测试
- OpenSSH_6.6.1p1 Ubuntu-2ubuntu2,OpenSSL 1.0.1f 2014 年 1 月 6 日在 Ubuntu 14.04.1 LTS 上,
- OpenSSH_7.2p2 Ubuntu-4ubuntu2.1,OpenSSL 1.0.2g 2016 年 3 月 1 日在 Ubuntu 16.04.2 LTS 上
- OpenSSH_7.6p1 Ubuntu-4ubuntu0.3,OpenSSL 1.0.2n 2017 年 12 月 7 日在 Ubuntu 18.04.5 LTS 上
于 2021-05-13T20:12:24.483 回答