Script per cambiare la password sui server linux su ssh

Question

Abbiamo un numero di server Linux Red Hat nel nostro ambiente IT. I membri del mio team mi chiedono di scrivere uno script (preferibilmente script di shell) per cambiare la password di un utente su ognuno di quelli in un unico passaggio, usando SSH.

Ho cercato di trovare una soluzione ma molti degli script che ho trovato utilizzano Expect. Non abbiamo Expect installato sui nostri server e gli amministratori di sistema si sono rifiutati di consentirci di installarlo. Inoltre, gli utenti non dispongono dell'accesso root, pertanto non è possibile utilizzare passwd --stdin o chpasswd.

È possibile scrivere uno script in modo che un utente possa eseguirlo e modificare la password del proprio utente su tutti i server in un elenco?

Answer 1

Non è necessario installare le macchine remote. È possibile eseguire l'installazione su una workstation locale o VM (virtualbox) o qualsiasi altra casella * nix e scrivere un wrapper che chiama questo script .ex (expect) (potrebbero esserci piccoli cambiamenti da distro a distro, testati su CentOS 5/6):

#!/usr/bin/expect -f 
# wrapper to make passwd(1) be non-interactive 
# username is passed as 1st arg, passwd as 2nd 

set username [lindex $argv 0] 
set password [lindex $argv 1] 
set serverid [lindex $argv 2] 
set newpassword [lindex $argv 3] 

spawn ssh $serverid passwd 
expect "assword:" 
send "$password\r" 
expect "UNIX password:" 
send "$password\r" 
expect "password:" 
send "$newpassword\r" 
expect "password:" 
send "$newpassword\r" 
expect eof 

Answer 2

Non è necessario l'accesso come root per utilizzare passwd.

Questo shoud funziona bene.

passwd <<EOF 
old password 
new password 
new password 
EOF 

Answer 3

Un'alternativa può essere utile per presentare ai vostri coetanei sarebbe averli utilizzano l'autenticazione senza password. Generano una coppia di chiavi pubblica/privata e registrano la loro chiave pubblica nel file ~/.ssh/authorized_keys su ciascuno dei server a cui accedono.

Answer 4

Si dovrebbe provare pssh (ssh parallelo allo stesso tempo).

cat>~/ssh-hosts<<EOF 
user100@host-foo 
user200@host-bar 
user848@host-qux 
EOF 

pssh -h ~/pssh-hosts 'printf "%s\n" old_pass new_pass new_pass | passwd' 

Answer 5

È possibile utilizzare il Perl?

Here c'è uno script che modifica la password in un set di host.

Se sono necessari alcuni moduli Perl (Net::OpenSSH::Parallel, Expect e le relative dipendenze) installati sul computer locale che esegue lo script ma nulla sui server remoti in cui la password deve essere modificata.

Answer 6

Hai provato App::Unix::RPasswd

Answer 7

pensato che avrei dovuto mettere la mia soluzione in un campo risposta - non so se questo dovrebbe essere una parte della questione ..

OK, ho messo insieme una soluzione parziale di lavoro usando il suggerimento di Dennis.

servers.txt assomiglia:

server1 
server2 
server3 
. 
. 
. 

sto usando:

for server in `cat servers.txt`; do 
ssh $server -l user 'passwd <<EOF 
old_pass 
new_pass 
new_pass 
EOF'; 
done 

Questo produce:

user@server1's password: **<Type password manually>** 
(current) UNIX password: New UNIX password: Retype new UNIX password: Changing password for user user. 
Changing password for user 
passwd: all authentication tokens updated successfully. 
user@server2's password: **<Type password manually>** 
(current) UNIX password: New UNIX password: Retype new UNIX password: Changing password for user user. 
Changing password for user 
passwd: all authentication tokens updated successfully. 

Così qui, ho ancora bisogno di digitare la mia vecchia password una volta per ogni server. Questo può essere evitato?

Answer 8

Un'altra possibilità: modificarlo manualmente su un server. Ottieni la password crittografata da/etc/shadow. Ora, fare qualcosa di simile:

for host in $HOST_LIST; do 
    ssh $host "passwd -p 'encrypted_passwd' user" 
done 

Naturalmente, 'encrypted_passwd" è che cosa avete ottenuto di/etc/shadow in cui è stata modificata la password manualmente e $ HOST_LIST è un elenco di host in cui si desidera la password. cambiato.Che potrebbero essere creati semplicemente con:

export HOST_LIST="server1 server2 server15 server67" 

O magari con un file (come altri hanno suggerito):

export HOST_LIST=`cat host_list.txt` 

Dove il file "host_list.txt" ha un elenco di tutti i sistemi in cui si vuoi cambiare la password.

Modifica: se la versione di passwd non supporta l'opzione -p, è possibile che sia disponibile il programma 'usermod'. L'esempio sopra rimane lo stesso, basta sostituire 'passwd' con 'usermod'.

Inoltre, si potrebbe considerare l'useful tool pdsh, che semplificherebbe l'esempio precedente a qualcosa del genere:

echo $HOST_LIST | pdsh -Rssh -w- "usermod -p 'encrypted_passwd' user" 

Un'ultima "Beccato" per guardare fuori per: la password crittografata contiene probabilmente il simbolo del dollaro ('$') come separatore di campo. Probabilmente dovrai sfuggire a quelli nel tuo ciclo for o comando pdsh (ad esempio "$" diventa "\ $").

Answer 9

Sulla base l'esempio di squashbuff, ho provato quanto segue, che ha funzionato bene per me:

#!/bin/bash 
for server in `cat hostlist`; do 
echo $server; 
ssh username@$server 'passwd <&ltEOF 
old_password 
new_password 
new_password 
EOF'; 
done

Sicurezza saggio, potrebbe essere migliorata a prendere input senza eco alla schermata o salvare il testo in chiaro su disco.

Answer 10

Se si dispone di ssh, perché le password sono in primo luogo? Spingi la chiave ssh pubblica dell'utente su tutti i server che sono autorizzati a utilizzare e con cui farla. Ciò consente anche di concedere e revocare facilmente l'accesso tutto ciò che si desidera.

In un precedente $ dayjob, dove avevamo letteralmente decine di migliaia di server, disponevano di un database di cui erano autorizzati i tecnici su quali server e l'installazione delle chiavi ssh era un processo automatico. Quasi NESSUNO ha avuto una password su QUALSIASI macchina.

Answer 11

echo "name:password" | chpasswd 

Answer 12

1. Installare sshpass su uno dei server da cui si desidera eseguire lo script.

   yum -y install sshpass 
   

2. preparare un file di testo in cui si deve passare dettagli come Host, Nome utente, password e Port. (In base alle vostre esigenze).

   192.168.1.2|sachin|dddddd|22 
   

3. Preparare un file di script utilizzando sotto i particolari.

   #!/bin/bash 
   
   FILE=/tmp/ipaddress.txt 
   
   MyServer="" 
   MyUser="" 
   MyPassword="" 
   MyPort="" 
   
   exec 3<&0 
   exec 0<$FILE 
   
   while read line 
   do 
       MyServer=$(echo $line | cut -d'|' -f1) 
       MyUser=$(echo $line | cut -d'|' -f2) 
       MyPassword=$(echo $line | cut -d'|' -f3) 
       MyPort=$(echo $line | cut -d'|' -f4) 
   
       HOST=$MyServer 
       USR=$MyUser 
       PASS=$MyPassword 
   
       sshpass -p $PASS ssh -p $MyPort -o StrictHostKeychecking=no $USR@$HOST \ 
         -T "echo 'sachin@patel' | passwd --stdin root"     \ 
         < /dev/null | tee -a output.log 
   done 
   
   exec 0<&3 
   

Answer 13

echo -e "wakka2 \ nwakka2 \ n" | passwd root

Answer 14

Lo script passmass (man page) fornito con Expect non richiede l'installazione di Expect sulle macchine remote.

Answer 15

La vera domanda è perché non stavano usando una sorta di servizi di denominazione? NIS/Pagine gialle o LDAP e non devi modificare manualmente le password su un gruppo di server. Un utente cambia la sua password una volta e viene eseguita attraverso il dominio master.

Answer 16

cat /tmp/passwords | ssh $server sudo chpasswd -e 

se la password è criptata, o

cat /tmp/passwords | ssh $server sudo chpasswd 

se la password non è criptata.

/tmp/password dovrebbero avere formato "user: password"