Использование конфигурации SSH и ключей в /etc/ssh с Fabric
Я пытаюсь использовать ключи SSH с Fabric вместо того, чтобы вводить пароль при каждом запуске fab
, Все наши хосты разделяют одно и то же /etc/ssh/ssh_known_hosts
файл, который содержит все их открытые ключи RSA, и я могу SSH без пароля от одного хоста к другому.
Я должен следовать за env, установленным в моем fabfile.py
:
env.use_ssh_config = True
env.ssh_config_path = '/etc/ssh/ssh_config'
env.key_filename = '/etc/ssh/ssh_host_rsa_key'
я бегу fab test
как root с помощью простой команды:
def test:
run('uname -s')
Я просмотрел все документы и много раз искал, но я не вижу примеров использования ключей и конфигов в /etc/ssh
; примеры обычно показывают, как использовать конфиги и ключи в ~/.ssh/
, поэтому я могу неправильно понять, как использовать эти настройки.
Вот отладка:
root@beef:~> fab test
[chicken] Executing task 'test'
[chicken] run: uname -s
DEBUG:ssh.transport:starting thread (client mode): 0x141c710L
INFO:ssh.transport:Connected (version 1.99, client OpenSSH_5.1)
DEBUG:ssh.transport:kex algos:['diffie-hellman-group-exchange-sha256', 'diffie-hellman-group-exchange-sha1', 'diffie-hellman-group14-sha1', 'diffie-hellman-group1-sha1'] server key:['ssh-rsa', 'ssh-dss'] client encrypt:['aes128-cbc', '3des-cbc', 'blowfish-cbc', 'cast128-cbc', 'arcfour128', 'arcfour256', 'arcfour', 'aes192-cbc', 'aes256-cbc', '[email protected]', 'aes128-ctr', 'aes192-ctr', 'aes256-ctr'] server encrypt:['aes128-cbc', '3des-cbc', 'blowfish-cbc', 'cast128-cbc', 'arcfour128', 'arcfour256', 'arcfour', 'aes192-cbc', 'aes256-cbc', '[email protected]', 'aes128-ctr', 'aes192-ctr', 'aes256-ctr'] client mac:['hmac-md5', 'hmac-sha1', '[email protected]', 'hmac-ripemd160', '[email protected]', 'hmac-sha1-96', 'hmac-md5-96'] server mac:['hmac-md5', 'hmac-sha1', '[email protected]', 'hmac-ripemd160', '[email protected]', 'hmac-sha1-96', 'hmac-md5-96'] client compress:['none', '[email protected]', 'zlib'] server compress:['none', '[email protected]', 'zlib'] client lang:[''] server lang:[''] kex follows?False
DEBUG:ssh.transport:Ciphers agreed: local=aes128-ctr, remote=aes128-ctr
DEBUG:ssh.transport:using kex diffie-hellman-group1-sha1; server key type ssh-rsa; cipher: local aes128-ctr, remote aes128-ctr; mac: local hmac-sha1, remote hmac-sha1; compression: local none, remote none
DEBUG:ssh.transport:Switch to new keys ...
DEBUG:ssh.transport:Adding ssh-rsa host key for chicken: 56f3f71a494013976c183844d342ed1b
[chicken] Login password for 'root':
Системный журнал на chicken
говорит
22 июня 13:48:47 chicken sshd[7328]: не получил идентификационную строку от 172.xxx
Так что я не передаю правильный файл ключа или что-то...
ОБНОВИТЬ
Я получил несколько советов по устранению неполадок из списка рассылки пользователей Fabric.
Я вижу, что когда я соединяюсь с ssh-клиентом из своей оболочки, клиент запрашивает метод подключения "none", а затем "hostbased". Ткань (или Paramiko), кажется, сразу же запрашивает publickey. Обратите внимание на методы подключения, выбранные в каждом примере:
успешный вход в систему
root@beef:~> ssh -t -i /etc/ssh/ssh_host_rsa_key chicken uname -s
root@chicken:~> /usr/sbin/sshd -d
...snip...
debug1: userauth-request for user root service ssh-connection method none
debug1: attempt 0 failures 0
debug1: PAM: initializing for "root"
debug1: userauth-request for user root service ssh-connection method hostbased
debug1: attempt 1 failures 0
debug1: userauth_hostbased: cuser root chost beef. pkalg ssh-dss slen 55
debug1: PAM: setting PAM_RHOST to "beef"
debug1: PAM: setting PAM_TTY to "ssh"
debug1: temporarily_use_uid: 0/0 (e=0/0)
debug1: restore_uid: 0/0
debug1: temporarily_use_uid: 0/0 (e=0/0)
debug1: fd 4 clearing O_NONBLOCK
debug1: restore_uid: 0/0
Failed hostbased for root from 172.x.x.x port 54623 ssh2
debug1: userauth-request for user root service ssh-connection method hostbased
debug1: attempt 2 failures 1
debug1: userauth_hostbased: cuser root chost beef. pkalg ssh-rsa slen 271
debug1: temporarily_use_uid: 0/0 (e=0/0)
debug1: restore_uid: 0/0
debug1: temporarily_use_uid: 0/0 (e=0/0)
debug1: fd 4 clearing O_NONBLOCK
debug1: restore_uid: 0/0
debug1: ssh_rsa_verify: signature correct
debug1: do_pam_account: called
Accepted hostbased for root from 172.x.x.x port 54623 ssh2
Неудачный вход через Fabric
root@beef:~ > fab test
root@chicken:~> /usr/sbin/sshd -d
...snip...
debug1: userauth-request for user root service ssh-connection method publickey
debug1: attempt 0 failures 0
debug1: PAM: initializing for "root"
debug1: PAM: setting PAM_RHOST to "beef"
debug1: PAM: setting PAM_TTY to "ssh"
debug1: temporarily_use_uid: 0/0 (e=0/0)
debug1: trying public key file /root/.ssh/authorized_keys
debug1: restore_uid: 0/0
debug1: temporarily_use_uid: 0/0 (e=0/0)
debug1: trying public key file /root/.ssh/authorized_keys2
debug1: restore_uid: 0/0
Failed publickey for root from 172.x.x.x port 54630 ssh2
Итак... вопрос: есть ли способ указать хост-хост в качестве предпочтительного метода подключения в Fabric/Paramiko?
1 ответ
Частично проблема заключалась в том, что я путался с publickey vs host-based auth. Я задал списку рассылки Fabric этот вопрос:
Есть ли способ указать хост-соединение в качестве предпочтительного метода подключения? Можно ли установить параметры Paramiko в моем файле?
Один из авторов ответил:
Я не думаю, что Paramiko поддерживает host-based, хотя изначально это не моя библиотека, поэтому я могу ошибаться. Конечно, Fabric не говорит о том, что он основан на ключах, кроме предоставления ему ключа (т. Е. В client.connect()) нет очевидного "списка схем аутентификации, которые нужно попробовать".
Paramiko - это модуль Python SSH, который использует Fabric. Итак, похоже, что нет способа установить предпочтительную схему аутентификации в Fabric/Paramiko. Вместо того, чтобы пытаться бежать fab
В качестве пользователя root и без запроса пароля, я решил, что лучше всего запускать свои команды, используя sudo()
в моем файле, так что я могу иметь контрольный журнал в /var/log/sudo.log
, Это требует, чтобы я все равно передавал свой пароль sudo в качестве аргумента.