从 bash 脚本添加 ssh-add 并自动输入密码

Posted

技术标签:

【中文标题】从 bash 脚本添加 ssh-add 并自动输入密码【英文标题】:ssh-add from bash script and automate passphrase entry 【发布时间】:2017-07-05 19:14:51 【问题描述】:

我正在尝试从脚本执行 ssh-add(目前不关心安全性)。

现在 ssh 提示输入密码,这需要自动化,所以我阅读了一些类似 this 的内容,然后找到了 expect。

现在我做以下事情:

eval `ssh-agent -s`

脚本 tmp.sh 定义为:

#!/usr/bin/expect
spawn ssh-add /root/.ssh/id_rsa
expect "Enter passphrase for /root/.ssh/id_rsa:"
send "my_pass"
interact

./tmp.sh

ssh-add -l

如果 ssh-add 可以工作,它会显示类似

4096 SHA256:wlfP/nhVSWXLcljBOen5GSYZXJGgfi/XJWfZeBwqRsM id_rsa (RSA)

但是我得到了The agent has no identities. 似乎 ssh-agent 失去了它的上下文。

我愿意接受其他解决方案来做到这一点。

【问题讨论】:

你是运行eval `ssh-agent -s`还是eval 'ssh-agent -s' 我运行了 eval ` ssh-agent -s ` 但由于格式如此,我希望能够这样写 如果您不关心安全性并且愿意将密码短语存储在文件中,您不妨从密钥中完全删除密码短语。 仍然期待一个 '\n' ,这是我尝试做的第一件事 有时提示输入密码的程序不会从常规标准输入中读取密码,需要模拟 TTY。可能这不是“期望”的默认行为,但我认为它可以选择模拟 TTY。看一下手册页,看看是否有这样的选项 【参考方案1】:

就我个人而言,我觉得expect 的使用有点麻烦。以下方法发现how to make ssh-add read passphrase from a file 信息量很大。

因此,如果您的 ssh-add 版本允许 -p 参数并且您不担心安全性,那么这应该工作:

#!/bin/bash
# store a file somewheres with your passphrase. For example's sake
# I'll just use $HOME/.myscrt

<$HOME/.myscrt ssh-add -p ~/.ssh/id_rsa

现在如果-p 不适合你,我发现第二种方法有点巧妙:

#!/bin/bash
# Same passfile and some minor enhancements from the OP of the linked
# solution
PASS="$(<$HOME/.myscrt)"

# the following is just a one-liner method of making an executable
# one-line script echoing the password to STDOUT
install -vm700 <(echo "echo $PASS") "$PWD/ps.sh"

# then the magic happens. NOTE: your DISPLAY variable should be set
# for this method to work (see ssh-add(1))
[[ -z "$DISPLAY" ]] && export DISPLAY=:0
< id_rsa SSH_ASKPASS="$PWD/ps.sh" ssh-add - && shred -n3 -uz  $PWD/ps.sh    

当我测试我称为“j”的脚本时,见下文:

$ cd /tmp
$ ssh-keygen
Generating public/private rsa key pair.
Enter file in which to save the key (/home/me/.ssh/id_rsa): /tmp/id_rsa
Enter passphrase (empty for no passphrase): asdfasdf
Enter same passphrase again: asdfasdf
Your identification has been saved in /tmp/id_rsa.
Your public key has been saved in /tmp/id_rsa.pub.
The key fingerprint is:
ed:1a:ae:c7:ac:47:5e:31:98:8e:18:8f:1c:67:94:6d jimconn@redapt-240
The key's randomart image is:
+--[ RSA 2048]----+
|       o         |
|      o E        |
|     . . o       |
|    o o o.o      |
|   . O oS .o     |
|    + o o..      |
|       =...      |
|       .*o       |
|      o=o        |
+-----------------+
$ echo 'asdfasdf' > ~/.myscrt
$ chmod 0600 ~/.myscrt
$ ls -altr ~/.myscrt
-rw------- 1 me me 9 Feb 16 19:00 /home/me/.myscrt
$ cat ~/.myscrt
asdfasdf
$ ls -ltr
total 12
-rw-r--r-- 1 me me  400 Feb 16 18:59 id_rsa.pub
-rw------- 1 me me 1766 Feb 16 18:59 id_rsa
-rwx------ 1 me me  151 Feb 16 19:04 j
$ cat j
#!/bin/bash
PASS="$(<$HOME/.myscrt)"
install -vm700 <(echo "echo $PASS") "$PWD/ps.sh"
cat id_rsa | SSH_ASKPASS="$PWD/ps.sh" ssh-add - && shred -n3 -uz     $PWD/ps.sh
$ ./j
‘/dev/fd/63’ -> ‘/tmp/so/ps.sh’
Identity added: (stdin) ((stdin))
$ ls
id_rsa  id_rsa.pub  j

因此,关于此方法需要快速注意的一点是,列出加载到 ssh-agent 的身份只会显示 stdin 已加载:

$ ssh-add -D
All identities removed.
$ ssh-add -l
2048 ed:1a:ae:c7:ac:47:5e:31:98:8e:18:8f:1c:67:94:6d (stdin) (RSA)
$ ./j
‘/dev/fd/63’ -> ‘/tmp/so/ps.sh’
Identity added: (stdin) ((stdin))
$ ssh-add -l
2048 ed:1a:ae:c7:ac:47:5e:31:98:8e:18:8f:1c:67:94:6d (stdin) (RSA)

【讨论】:

【参考方案2】:

已更新,因为第一个不起作用

我没有尝试过,但如果真的是期望失去上下文,那么稍后设置它可能是个好主意:

auto-passphrase-add.expect(替换 tmp.sh)

/usr/bin/expect
spawn ./ssh-agent-ssh-add.sh /root/.ssh/id_rsa
expect "Enter passphrase for /root/.ssh/id_rsa:"
send "my_pass"
interact

ssh-agent-ssh-add.sh

#!/bin/sh
eval `ssh-agent -s`
ssh-add "$@"

【讨论】:

vl 试一试 它说 Agent pid 37 spawn SSH_AUTH_SOCK=/tmp/ssh-Zmv2bGZUfCKp/agent.36 SSH_AGENT_PID=37 ssh-add /root/.ssh/id_rsa could't execute "SSH_AUTH_SOCK=/tmp/ssh -Zmv2bGZUfCKp/agent.36”:执行“spawn SSH_AUTH_SOCK=/tmp/ssh-Zmv2bGZUfCKp/agent.36 SSH_AGENT_PID=37 ssh-add /root/.ssh/id_rsa”时没有这样的文件或目录 你能试试第二种方法吗? 是的,给我一分钟 我正在 docker 中尝试这个,可能是 docker build 问题,可能需要更长的时间

以上是关于从 bash 脚本添加 ssh-add 并自动输入密码的主要内容,如果未能解决你的问题,请参考以下文章

为啥我不能在 bash 脚本中使用 `source` ssh-agent 和 ssh-add?

如何仅获取远程 git 操作来触发 ssh-agent 的 ssh-add 事件?

如何使用 Bash 脚本自动添加用户帐户和密码?

在 bash 脚本中为 git 提供密码

如何测试用于设置新机器的 bash 脚本

使用 bash 脚本从输入字符串中过滤掉 ABC 字符、数字 123 和特殊字符