如何使用shell在多服务器上批量操作

相关文章: 交换机口子区别; VPN需要开放的端口及协议; DELL戴尔C6100U盘安装centos6.5教程; 天津八线高防BGP推广活动优惠价格; 华为交换机标注介绍; windows2003远程桌面黑屏或者卡屏处理方法

如何使用shell在多服务器上批量操作

作者：发布时间:2021-06-08 11:19:39点击:1406

日常工作中，我们常需要同时在多台服务器上执行同样的命令，如对比日志、检查服务等。这就需要我们有服务器批量操作的能力，我们可以借用ssh公钥登陆的能力，方便地实现在多个服务器上批量执行命令。

SSH协议

说公钥登陆之前，先来说一下SSH协议。

SSH是一种网络协议，我们常说的ssh一般指其实现，即OpenSSH，在shell中，也就是ssh命令。

SSH

SecureShell（安全外壳协议，简称SSH）是一种加密的网络传输协议，可在不安全的网络中为网络服务提供安全的传输环境。SSH通过在网络中建立安全隧道来实现SSH客户端与服务器之间的连接。

SSH的原理跟HTTPS差不多，都是基于TCP和非对称加密进行的应用层协议。它跟HTTPS的不同之处在于HTTPS通过数字证书和数字证书认证中心来防止中间人攻击，而ssh服务器的公钥没有人公证，只能通过其公钥指纹来人工确定其身份。

如下图所示，我们第一次使用ssh登陆某台服务器时，ssh会提示我们验证服务器的公钥指纹。

当我们验证此公钥指纹是我们要登陆的服务器后，服务器的公钥会被添加到~/.ssh/known_hosts里，再登陆时，ssh检测到是已认证服务器后就会跳过公钥验证阶段。

建连过程

关于通信加密的概念，我在之前的文章也有所介绍，参见：再谈加密-RSA非对称加密的理解和使用。至于SSH协议的建连过程，则可以参阅：ProtocolBasics:SecureShellProtocol。

总结起来主要包括以下步骤：

TCP三次握手
SSH协议版本协商
客户端与服务端的公钥交换
加密算法协商
客户端使用对称加密的密钥认证
客户端与服务端安全通信

我使用tcpdump+wireshark抓包并查看了一下其SSH的建连过程，如下图所示：

不得不再次感叹tcpdump+wireshark是学习网络协议的真神器。

ssh工具ssh

作为工具，ssh分为服务端和客户端，在服务端，它是sshd，一般占用22端口。我们平常使用的是其客户端，一般用法为sshuser@host，然后根据ssh的提示，我们输入密码后登陆到服务器。

它的功能非常强大，看其支持参数就知道了。

ssh[-1246AaCfGgKkMNnqsTtVvXxYy][-bbind_address][-ccipher_spec][-D[bind_address:]port][-Elog_file][-eescape_char][-Fconfigfile][-Ipkcs11][-iidentity_file][-J[user@]host[:port]][-Laddress][-llogin_name][-mmac_spec][-Octl_cmd][-ooption][-pport][-Qquery_option][-Raddress][-Sctl_path][-Whost:port][-wlocal_tun[:remote_tun]][user@]hostname[command]

介绍完了SSH协议和ssh命令，终于说到公钥登陆了。

公钥登陆

理解了非对称加密的原理后，再公钥登陆会非常简单。由于公私钥是唯一的一对，在客户端保障自己私钥安全的情况下，服务端通过公钥就可以完全确定客户端的真实性，所以要实现公钥登陆，我们就要先生成一个公私密钥对。

通过ssh-keygen命令来生成密钥对，为了让步骤更完整，我把它们暂时保存到工作目录，默认会保存到~/.ssh目录。

~ssh-keygen

Generatingpublic/privatersakeypair.

Enterfileinwhichtosavethekey(/Users/zbs/.ssh/id_rsa):./test

Enterpassphrase(emptyfornopassphrase):

Entersamepassphraseagain:

Youridentificationhasbeensavedin./test.

Yourpublickeyhasbeensavedin./test.pub.

Thekeyfingerprintis: