(运维篇)-ssh-002- 如何优雅的通过跳板机登入公司内网服务器.

背景

由于博主所在的公司对安全非常重视, 不仅仅登入内网服务器需要使用跳板机, 登入跳板机的时候还需要配合 密码 + 动态口令进行登入. 可谓是重重关卡, 安全是安全了,但是使用起来十分不方便.很多开发,运维人员会使用 SecureCRT 来对机器进行管理.不可否认 SecureCRT 是很好用的软件,但是在 mac 下,个人感觉没必要用, 这款软件就不做介绍了.

问题

每次手动的输入密码 + 动态口令 十分繁琐.如果使用的是命令行窗口,切换或者关闭窗口后还得重新登入.
ssh 命令是个交互命令, 没有提供参数密码的参数.
公司的跳板机不允许配置密钥.所以无法走密钥方案来自动化

jump server

Jump Server,国内的公司把它称之为 堡垒机 或者 跳板机。

A jump server, jump host or jump box is a system on a network used to access and manage devices in a separate security zone. The most common example is managing a host in a DMZ from trusted networks or computers.

A jump server is a hardened and monitored device that spans two dissimilar security zones and provides a controlled means of access between them. User access should be tightly controlled and monitored.

上述关于 跳板机 的解释，引用自维基百科
大概的意思就是的跳板机是用来登入和管理服务器,并且跳板机是在一个和这些服务器隔离的安全区域内。
跳板机是经过安全加固并且收审查的设备,用户使用跳板机登入服务器就有了严格的监控和约束.

解决方案

虽然 ssh 命令是个交互命令,没有提供传入密码的参数,但是 linux 中提供了一套用来处理交互命令的程序 expect.

Expect

Expect 语言是基于 Tcl 的。
Tcl 实际上是一个子程序库，这些子程序库可以嵌入到程序里从而提供语言服务。最终的语言有点象一个典型的 Shell 语言。
Expect 给变量赋值用 set 命令, 控制程序执行的 if,for,continue 等命令,还能进行普通的数学和字符串操作.以用 exec 来调用 Unix 程序。
spawn 命令激活一个 Unix 程序来进行交互式的运行
send 命令向进程发送字符串
expect 命令等待进程的某些字符串 .expect 支持正规表达式并能同时等待多个字符串，并对每一个字符串执行不同的操作。expect 还能理解一些特殊情况，如超时和遇到文件尾

所以我们可以利用 expect 这个程序来实现自动化的交互 ssh.

具体思路: 我们开启一个进程来执行 ssh 命令,然后在监听这个进程输出的提示输入密码的交互信息,然后自动输入密码。

用 expect 我们可以非常方便的实现以上思路.

首先我们使用 spawn linux命令 就可以开启一个进程执行 linux 命令.
然后使用 expect 来监听该进程的输出.
最后使用 send 命令来发送密码给该进程,就可以完成连接.

详细代码如下:

其中使用 set 变量名变量值 的方式来设置变量.使用 $变量名 来获取值.

#!/usr/bin/expect
set user wxxxx
set ipaddress jump.xxxxxx.com
set salt 123456
set passwd "$salt [lindex $argv 0]"
set timeout 30
spawn ssh $user@$ipaddress
expect {
    "*Password:" { send "$passwd\r" }
    "Please input server keyword" { send "\r" }
    "Select page:" { send "1\r" }
}
expect {
    "Please input server keyword" { send "\r" }
}
expect {
    "Select page:" { send "1\r" }
}
interact

将上面脚本保存为 connect_server.sh,权限更改为 777.以后登入只需要 ./connect_server.sh 动态口令

最后效果如下图

后续

理论上,就连同动态口令都可以做成自动化.只要直到对应的接口和 token 就可以获取到动态口令.如果还想做得更自动化点, 感兴趣的,可以研究下.
Mac 的 OSX 系统只需要使用以下命令就可以使用按照好 expect

brew install expect
brew install spawn-fcgi

我的公众号

5ti(2022 年山东省)

B-5：事件分析应急响应任务环境说明：服务器场景：Server2229（开放链接）用户名：root，密码：p@ssw0rd123 1.找出黑客植入到系统中的二进制木马程序，并将木马程序的名称作为 Flag 值（若存在多个提交时使用英文逗号隔开，例如 bin,sbin,...）提交；先使用命令 crontab - ..

Next Cloud 容器挂载主机文件夹

Hello,大家好，这期我来给大家讲一下如何在 next cloud 云盘中挂载本机的目录。我们打开 zimaos，应用商店搜索 Next Cloud 安装；打开文件，选择一个我们想要去映射的文件夹，我选择 download，现在记住这个地址是 DATA/Download；打开 Next Cloud 容器右上角三 ..

浪潮服务器运维

BMC 是独立于服务器系统之外的小型操作系统，是一个集成在主板上的芯片，也有产品是通过 PCIE 等形式插在主板上，对外表现形式只是一个标准的 RJ45 网口，拥有独立 IP 的固件系统。服务器集群一般使用 BMC 指令进行大规模无人值守操作，包括服务器的远程管理、监控、安装、重启等。通过网线接入浪潮服务器上的 IP ..

9 个智能运维工具

https://www.kubiya.ai/resource-post/ai-tools-for-devops kubiya 可以看到在传统的软件开发过程中有几个重要部分应用代码 - 》 [使用提交能力] 在仓库中管理 - 》通过触发机制到 CI/CD 交付平台- 》可以直接在虚拟环境中推出镜像，也可以发布到 K ..

日志切分

一共提供有两种方式去切分日志方法一：shell 脚本脚本包含两个文件，一个 ziplog.conf配置文件，一个 ziplog.sh脚本文件，两个文件需要放在同一个目录下 [图片] ziplog.conf 用来配置需要切分的日志文件，参数如下 LOG_FILES配置文件，支持通配符 KEEP_DAYS压缩日志保存的 ..

【bigdata】4.hive 安装

hive的全部安装过程都是在master节点安装 hive 1.上传并解压 tar -zxvf apache-hive-1.2.2-bin.tar.gz -C /hive安装目录 2.配置环境 2.1 配置 hive-env.sh # 跳转到hive配置文件目录 cd /hive安装目录/conf # 修改名称 mv ..

欢迎来到这里！

我们正在构建一个小众社区，大家在这里相互信任，以平等 • 自由 • 奔放的价值观进行分享交流。最终，希望大家能够找到与自己志同道合的伙伴，共同成长。

关于

4 回帖