告别重复输入密码!用Linux expect脚本批量管理服务器,5分钟搞定自动化登录
每天登录十几台服务器重复输入密码,是运维工程师的噩梦。我曾在一个紧急故障处理中,因为连续输错三次密码导致账号被锁,耽误了半小时黄金修复时间。这种低效操作不仅消耗精力,更可能引发严重事故。而expect脚本正是解决这一痛点的利器——它能模拟人类交互行为,自动完成密码输入、命令执行等重复操作。
与传统SSH密钥对方案相比,expect的优势在于:
- 兼容性强:适用于必须使用密码认证的环境
- 灵活度高:可处理复杂交互流程(如二次认证)
- 即装即用:无需提前部署密钥到所有节点
1. 环境准备与快速上手
1.1 极简安装方案
主流Linux发行版只需一条命令即可完成安装:
# CentOS/RHEL sudo yum install -y expect # Ubuntu/Debian sudo apt-get install expect -y验证安装是否成功:
expect -c 'puts "Hello Expect"'正常情况会输出Hello Expect,若报错请检查PATH环境变量是否包含/usr/bin/expect。
1.2 第一个自动化脚本
创建auto_login.exp文件,内容如下:
#!/usr/bin/expect set timeout 10 spawn ssh admin@192.168.1.100 expect "password:" send "P@ssw0rd!\r" interact给脚本添加执行权限并运行:
chmod +x auto_login.exp ./auto_login.exp注意:首次连接时可能出现
Are you sure you want to continue connecting (yes/no)?提示,需在expect脚本中添加对应处理(下文会详解)
2. 生产级脚本开发技巧
2.1 多服务器批量管理
通过参数化实现通用脚本:
#!/usr/bin/expect set ip [lindex $argv 0] set user [lindex $argv 1] set password [lindex $argv 2] spawn ssh $user@$ip expect { "yes/no" { send "yes\r"; exp_continue } "password:" { send "$password\r" } } expect "#" { send "df -h\r" } expect eof调用方式:
./batch_ops.exp 192.168.1.100 root MyPass1232.2 超时与异常处理
关键参数设置:
set timeout 30 # 全局超时30秒 expect { -timeout 5 "password:" { send "$pwd\r" } # 局部5秒超时 timeout { puts "连接超时"; exit 1 } eof { puts "连接异常终止" } }推荐超时策略:
| 操作类型 | 建议超时 | 重试次数 |
|---|---|---|
| 本地命令执行 | 10秒 | 2次 |
| 内网SSH连接 | 20秒 | 3次 |
| 跨机房操作 | 60秒 | 1次 |
2.3 日志记录与调试
在脚本开头添加:
log_file -a /var/log/expect_script.log log_user 1 # 同时输出到屏幕调试模式启动:
expect -d your_script.exp典型调试输出分析:
expect: does "ssh: connect to host 192.168.1.100 port 22: Connection refused\r\n" (spawn_id exp6) match glob pattern "password:"? no3. 实战案例:自动化巡检系统
3.1 架构设计
├── hosts.list # 服务器清单 ├── commands.list # 待执行命令 ├── collector.sh # 主控脚本 └── templates/ # 报告模板hosts.list格式:
192.168.1.100,admin,SecurePwd123 192.168.1.101,root,My@Pass4563.2 核心实现代码
collector.sh片段:
while IFS=',' read -r ip user pass; do expect <<EOF spawn ssh $user@$ip expect { "yes/no" { send "yes\r"; exp_continue } "password:" { send "$pass\r" } } expect "#" { send "hostname && date && uptime\r" expect -re ".+" { set output $expect_out(buffer) } } send "exit\r" expect eof EOF done < hosts.list3.3 性能优化方案
- 并行执行:
parallel -j 10 ./collector.sh ::: $(seq 1 100)- 连接复用:
spawn ssh -o ControlMaster=yes -o ControlPath=~/.ssh/conn-%r@%h:%p $user@$ip- 结果缓存:
redis-cli set "$ip-status" "$output" EX 36004. 安全增强方案
4.1 密码安全管理
推荐方案对比:
| 方案 | 优点 | 缺点 |
|---|---|---|
| 脚本加密 | 无需额外配置 | 存在被破解风险 |
| 环境变量 | 动态获取 | 需维护变量文件 |
| Vault集成 | 最高安全性 | 架构复杂 |
示例使用HashiCorp Vault:
set password [exec vault kv get -field=password secret/ssh_creds/$ip]4.2 操作审计实现
在expect脚本中添加:
send "logger -t EXPECT_SCRIPT \"User $user executed script on $ip\"\r"审计日志格式:
Jun 15 14:30:01 server1 EXPECT_SCRIPT: User root executed script on 192.168.1.1004.3 防火墙策略建议
最小化放行规则:
iptables -A INPUT -p tcp --dport 22 -s 10.0.0.0/24 -j ACCEPT iptables -A OUTPUT -p tcp --sport 22 -d 10.0.0.0/24 -j ACCEPT在项目实践中,我们团队通过expect脚本将服务器部署时间从平均45分钟缩短到7分钟。最关键的技巧是在expect块中使用正则表达式匹配动态提示符,例如expect -re {\$ $|# $}可以同时匹配普通用户和root提示符。
