多个 UID 为 0 的用户如何实现 root 用户的免密

简介: 多个 UID 为 0 的用户如何实现 root 用户的免密
前言:

由于客户的机器都是suse的,并且uid为0的用户有 root、sysop、appadmin 三个用户,导致有的时候远程连接,即使是以 root 用户的身份登录,也会出现当前用户不是 root 的情况,以至于部署和免密脚本会失败

以下是通过注释 /etc/passwd 文件的方式,来暂时注销 sysop 和 appadmin 这两个用户,以此来达到当前uid为0的用户只有 root

登陆 Linux 系统时,虽然输入的是自己的用户名和密码,但其实 Linux 并不认识你的用户名称,它只认识用户名对应的 ID 号(也就是一串数字)

Linux 系统将所有用户的名称与 ID 的对应关系都存储在 /etc/passwd 文件中

  • ip:

    • 192.168.72.12
    • 192.168.72.13
    • 192.168.72.14
  • user:

    • root
    • appadmin
    • sysop

创建用户

-m 创建用户的家目录(suse默认不会创建)

-U 创建用户的基本组(suse默认不会创建)

-o 允许创建重复的用户

-u 指定用户uid

useradd -mUo appadmin -u 0
useradd -mUo sysop -u 0

创建用户密码

创建用户密码,由于 susepasswd命令没有 --stdin参数,没法使用 echo '<user password>' | passwd --stdin <user name>这个方式创建用户密码

但是可以通过echo '<user name>:<user password>' | chpasswd的方式来创建用户密码

这两种方式,是为了免交互为用户创建密码,直接使用passwd或者chpasswd命令,是需要输入两次密码,对于写脚本不友好

echo 'appadmin:123.com' | chpasswd
echo 'sysop:123.com' | chpasswd
快速注释,方便快速回到root用户
for i in $(awk -F : '{if($3==0){print$1}}' /etc/passwd | grep -v root);do sed -i "/$i/s/^/#/g" /etc/passwd;done
快速取消注释
for i in $(awk -F : '{if($3==0){print$1}}' /etc/passwd);do sed -i "/$i/s/^#//g" /etc/passwd;done

免密脚本

我的用户密码全部设置为123.com了,需要使用下面的脚本,记得修改密码为自己的用户密码
#!/usr/bin/env bash
ips='
192.168.72.12
192.168.72.13
192.168.72.14
'
# 将上面的ip变量格式化成数组的形式
ip_arry=($(printf "%q\n" ${ips}))
# 备份root用户的.ssh目录
[[ -d "/root/.ssh" ]] && mv /root/.ssh{,-$(date +"%F_%T")}
# 生成新的公钥和私钥
ssh-keygen -t rsa -P "" -f /root/.ssh/id_rsa -q
for (( i=0; i<${#ip_arry[@]}; i++ ))
do
    expect -c "
    spawn ssh-copy-id -i /root/.ssh/id_rsa.pub root@${ip_arry[i]} -o \"StrictHostKeyChecking no\"
        expect {
                \"*assword*\" {send \"123.com\r\"; exp_continue}
                \"*assword*\" {send \"123.com\r\";}
               }"
done

当前主机用户不是root

通过 whoami命令,确保当前的用户不是 root,可以使用 ssh sysop@ip来切换用户

此时,执行上面的脚本会报错,如果-f指定的目录不是用户的家目录,ssh-keygen无法自动创建,需要手动创建

/usr/bin/ssh-copy-id: ERROR: failed to open ID file '/root/.ssh/id_rsa.pub': No such file or directory

当前主机用户是root,远程主机多个用户uid为0

执行上面的脚本没有问题,可以实现root用户免密

但是连接远程主机,查看当前用户,显示为非root用户

ssh root@192.168.72.13 "whoami"

利用shell脚本实现远程主机uid为0的用户只有root一个

#!/usr/bin/env bash
ips='
192.168.72.12
192.168.72.13
192.168.72.14
'

ip_arry=($(printf "%q\n" ${ips}))
user_name=$(awk -F : '{if($3==0){print$1}}' /etc/passwd | grep -v root)

for (( i=0; i<${#ip_arry[@]}; i++ ))
do
    for name in ${user_name}
    do
        j=($(printf "%q\n" ${name}))
        ssh root@${ip_arry[i]} "sed -i \"/${name[j]}/s/^/#/g\" /etc/passwd"
    done
done
当然,服务器是人家的,所以,自己的服务搞定以后,要取消sysop和appadmin的注释,不能影响客户的使用,使用一下脚本实现了取消注释
#!/usr/bin/env bash
ips='
192.168.72.12
192.168.72.13
192.168.72.14
'

ip_arry=($(printf "%q\n" ${ips}))
user_name=$(awk -F : '{if($3==0){print$1}}' /etc/passwd | sed 's/#//')

for (( i=0; i<${#ip_arry[@]}; i++ ))
do
    for name in ${user_name}
    do
        j=($(printf "%q\n" ${name}))
        ssh root@${ip_arry[i]} "sed -i \"/${name[j]}/s/^#//g\" /etc/passwd"
    done
done
仅以此篇来记录自己的学习和成长的过程,虽然并不适用与大家的场景,不过用来练习shell脚本,还是可以的

---------------------------------更新时间:2021年11月22日---------------------------------

多个UID=0用户之间的免密

由于会有新场景上线,因此会有新机器需要做免密的情况,此时就要对所有UID=0的用户都完成免密才可以保证服务部署过程中,避免出现需要密码的情况,因此有了下面的脚本

  • 脚本需要通过位置变量引入一个清单文件,清单文件名称以自己本地实际的为准,我这里使用的是list.txt来做参考
  • 脚本执行方式: bash same_uid_ssh.sh list.txt
  • list.txt文件内的格式 [以一个空格为分隔符,依次为IP地址用户名用户密码‘]:

192.168.70.26 sysop 123.com
192.168.70.88 sysop 234.com
192.168.70.89 sysop 345.com

  • 脚本依赖 expectdoc2unix 两个命令,执行前,建议先检查环境是否有这两个命令
#!/bin/bash
base_dir=$(cd `dirname $0`; pwd)
check_sanme_uid=$(awk -F ':' '{if ($3==0) {print $1}}' /etc/passwd | wc -l)
# 以数组的形式输出UID=0的所有用户
same_uid_user=($(awk -F ':' '{if ($3==0) {print $1}}' /etc/passwd))
# 脚本执行的时候没有带参数,则返回脚本执行方式
# list.txt非固定名称,只需要文件存在即可,文件内容以一个空格为分割,内容格式为: <ip地址> <用户名称> <用户密码>
if [[ "$#" == 0 ]];then
  echo "Usage: bash $0 list.txt"
  exit 0
fi
hosts_list=$1
user_host=($(awk '{print $1}' ${hosts_list}))
user_name=($(awk '{print $2}' ${hosts_list}))
user_pass=($(awk '{print $3}' ${hosts_list}))

if [[ "${check_sanme_uid}" > 1 ]];then
  echo "system have ${check_sanme_uid} same uid users"
fi

# 生成ssh公钥
function make_ssh_pub () {
  # 判断脚本所在路径下是否有 authorized_keys 文件,如果存在则清空文件内容
  [[ ! -f "${base_dir}/authorized_keys" ]] || > ${base_dir}/authorized_keys

  for (( i=0; i<${#same_uid_user[@]}; i++ ))
  do
    # 输当前循环的用户名
    echo "now is ${same_uid_user[i]}"

    # 通过for循环逐一注释 /etc/passwd 文件来达到当前UID=0的用户是唯一的
    for change in $(awk -F ':' '{if ($3==0) {print $1}}' /etc/passwd | grep -v ${same_uid_user[i]})
    do
      sed -i "/${change}/s/^/#/g" /etc/passwd
    done

    # 判断用户是否为root来区分用户的家目录
    #   [只是注释 /etc/passwd 文件无法达到切换环境变量的效果,无法使用系统变量 $HOME 来指定用户的家目录]
    if [[ "${same_uid_user[i]}"x == "root"x ]];then
        user_home="/root"
    else
        user_home="/home/${same_uid_user[i]}"
    fi

    # 判断用户家目录下是否存在 .ssh 目录,存在则备份,后缀为: 年月日-时:分
    [[ ! -d "${user_home}/.ssh" ]] || cp -r ${user_home}/.ssh{,.$(date +%Y%m%d-%H:%M)}

    # 为了保证环境干净,删除用户家目录的 .ssh 目录
    rm -rf ${user_home}/.ssh

    # 静默生成用户ssh公钥,公钥格式为rsa
    ssh-keygen -t rsa -P "" -f ${user_home}/.ssh/id_rsa -q

    # 将用户的公钥追加到脚本所在路径下的 authorized_keys 文件内
    # 后续只需要将脚本所在路径下的 authorized_keys 文件分发到其他节点指定用户家目录下的 .ssh 目录
    # 以此来达到免密的效果
    cat ${user_home}/.ssh/id_rsa.pub >> ${base_dir}/authorized_keys

    # 取消之前的 /etc/passwd 文件的注释,进入下一层循环时,会重新注释其他用户,避免漏注释,造成公钥缺失
    for change in $(awk -F ':' '{if ($3==0) {print $1}}' /etc/passwd | grep -v ${same_uid_user[i]})
    do
      sed -i "/${change}/s/^#//g" /etc/passwd
    done
  done

  # 受到umask的影响,默认生成的文件权限为644,authorized_keys 文件默认权限为600,此处做一个赋权
  chmod 600 ${base_dir}/authorized_keys
}

function make_ssh_auth () {
  for (( host=0; host<${#user_host[@]}; host++ ))
  do
    # 判断脚本所在路径下是否有 user_list.txt 这个文件,有则清空文件内容
    [[ ! -f "${base_dir}/user_list.txt" ]] || > ${base_dir}/user_list.txt
    # 通过expect远程登录其他节点,查看UID=0的用户有哪些,避免环境差异,导致免密失败
    # log_file将expect的输出重定向到指定文件中 [expect的log_file输出的文件格式不是unix的]
    # expect内如果需要ssh到其他节点使用awk命令,需要使用花括号来代替双引号,并且$符号前面需要加上转义符(\)
    expect -c "
    spawn ssh ${user_name[host]}@${user_host[host]} {awk -F ':' '{if (\$3==0) {print \$1}}' /etc/passwd}
    log_file ${base_dir}/user_list.txt
      expect {
        \"*es/no*\" {send \"yes\r\"; exp_continue}
        \"*assword*\" {send \"${user_pass[host]}\r\"; exp_continue}
        \"*assword*\" {send \"${user_pass[host]}\r\"; exp_continue}
      }"
    # 将dos格式的文件转换成unix格式的文件 [否则输出的内容会有dos文件的字符]
    dos2unix -o ${base_dir}/user_list.txt
    # 定义same_uid变量,以数组的形式定义从log_file文件内获取到的UID=0的用户
    same_uid=($(printf "%q " `egrep -v 'spawn|assword' ${base_dir}/user_list.txt`))

    for (( n=0; n<${#same_uid[@]}; n++ ))
    do
      # 定义用户的家目录,root用户与其他用户的家目录不同
      if [[ "${same_uid[n]}"x == "root"x ]];then
          user_home="/root"
      else
          user_home="/home/${same_uid[n]}"
      fi

      # 通过expect解决交互问题
      # 在用户的家目录下创建.ssh目录,并赋权700
      expect -c "
        spawn ssh ${user_name[host]}@${user_host[host]} \"mkdir ${user_home}/.ssh -m 700\"
          expect {
            \"*es/no*\" {send \"yes\r\"; exp_continue}
            \"*assword*\" {send \"${user_pass[host]}\r\"; exp_continue}
            \"*assword*\" {send \"${user_pass[host]}\r\";}
          }"
      # 有些用户家目录下可能已经存在.ssh目录,这里重新赋权700,避免权限问题影响免密
      expect -c "
        spawn ssh ${user_name[host]}@${user_host[host]} \"chmod 700 ${user_home}/.ssh\"
          expect {
            \"*es/no*\" {send \"yes\r\"; exp_continue}
            \"*assword*\" {send \"${user_pass[host]}\r\"; exp_continue}
            \"*assword*\" {send \"${user_pass[host]}\r\";}
          }"
      # 判断用户家目录下的.ssh目录下是否已有 authorized_keys 免密文件,有则备份
      # expect内如果用到'[]'来判断目录或文件是否存在,也需要用花括号来代替双引号
      expect -c "
        spawn ssh ${user_name[host]}@${user_host[host]} {[ ! -f ${user_home}/.ssh/authorized_keys ] || mv ${user_home}/.ssh/authorized_keys{,.bak}}
          expect {
            \"*es/no*\" {send \"yes\r\"; exp_continue}
            \"*assword*\" {send \"${user_pass[host]}\r\"; exp_continue}
            \"*assword*\" {send \"${user_pass[host]}\r\";}
          }"
      # 将脚本生成的 authorized_keys 免密文件分发到其他节点
      expect -c "
        spawn scp ${base_dir}/authorized_keys ${user_name[host]}@${user_host[host]}:${user_home}/.ssh/authorized_keys
          expect {
            \"*es/no*\" {send \"yes\r\"; exp_continue}
            \"*assword*\" {send \"${user_pass[host]}\r\"; exp_continue}
            \"*assword*\" {send \"${user_pass[host]}\r\";}
          }"
    done
  done
}

make_ssh_pub
make_ssh_auth
目录
相关文章
|
6月前
|
Linux 数据处理 数据库
深入解析Linux命令id:理解用户身份与权限
`id`命令在Linux中用于显示用户身份(UID, GID和附加组)。它查看系统用户数据库获取信息。参数如`-u`显示UID,`-g`显示GID,`-G`显示附加组,结合`-n`显示名称而非ID。用于确认命令执行者身份,确保权限正确。在脚本中使用时注意权限管理,遵循最小权限原则。
|
5月前
|
数据安全/隐私保护
chown命令,chown普通用户无法修改所属其他用户,只有root可以修改用户,su -
chown命令,chown普通用户无法修改所属其他用户,只有root可以修改用户,su -
|
数据安全/隐私保护
38Linux - 用户/权限管理(修改用户所在组:usermod)
38Linux - 用户/权限管理(修改用户所在组:usermod)
41 0
|
Linux 编译器 数据安全/隐私保护
【Linux】下的权限管理/关于root用户和普通用户的区别/不同用户的访问权限有什么不同?/到底什么是粘滞位?
1.Linux下用户的分类 Linux下有两种用户:超级用户(root)、普通用户。 超级用户:可以再linux系统下做任何事情,不受限制 普通用户:在linux下做有限的事情。 超级用户的命令提示符是“#”,普通用户的命令提示符是“$”。
|
Linux 数据安全/隐私保护
linux中的cal 查看日历、用户管理命令、useradd 添加新用户、passwd 设置用户密码、id 查看用户是否存在、su 切换用户、userdel 删除用户、who 查看登录用户信息、sudo 设置普通用户具有 root 权限
useradd-g组名用户名(功能描述添加新用户到某个组)cal[选项](功能描述不加选项,显示本月日历)useradd用户名(功能描述添加新用户)注用户组必须存在,如果不存在则会报当从root用户切换到普通用户的时候不需要输入密码,而从普通用户切换到其他普通的用户或者root用户是需要输入密码的。su用户名称(功能描述切换用户,修改完毕,现在可以用ayy帐号登录,然后用命令sudo,即可获得root权限进行操作。(2)userdel-r用户名(功能描述用户和用户主目录,都删除)(2)whoami(功能描述显示登录用户的用户名以及登陆时间)(1)userdel用户名(功能描述删除用户但保存用户
291 1
linux中的cal 查看日历、用户管理命令、useradd 添加新用户、passwd 设置用户密码、id 查看用户是否存在、su 切换用户、userdel 删除用户、who 查看登录用户信息、sudo 设置普通用户具有 root 权限
|
Linux Shell 编译器
Linux:关机&重启操作+用户登录和注销+添加用户+指定/修改密码+删除用户+查询用户信息+切换用户+查询当前用户/登录用户+用户组+修改用户的组+用户组和相关文件
Linux:关机&重启操作+用户登录和注销+添加用户+指定/修改密码+删除用户+查询用户信息+切换用户+查询当前用户/登录用户+用户组+修改用户的组+用户组和相关文件
404 0
Linux:关机&重启操作+用户登录和注销+添加用户+指定/修改密码+删除用户+查询用户信息+切换用户+查询当前用户/登录用户+用户组+修改用户的组+用户组和相关文件
|
Ubuntu Linux Shell
root用户和普通用户
root用户和普通用户
529 0
|
Linux 数据安全/隐私保护
8.15 Linux临时切换用户身份(su命令)
su 是最简单的用户切换命令,通过该命令可以实现任何身份的切换,包括从普通用户切换为 root 用户、从 root 用户切换为普通用户以及普通用户之间的切换。
664 0
8.15 Linux临时切换用户身份(su命令)
|
Shell 数据安全/隐私保护
如何屏蔽root用户(禁止以root用户登录)的方法
在一些时候我们需要将机器给客户,但是客户有时候知道root账号,如何禁止root用户登录从而防止客户破坏系统呢?
6890 0