ssh免密登录是远程批量执行命令的基础:先用ssh-keygen生成密钥对,再用ssh-copy-id分发公钥;随后可用for循环、while读取列表或parallel工具实现批量执行。
想用 Shell 脚本远程批量执行命令,又不想每次输密码?核心就一条:配置好 SSH 免密登录,再配合循环或工具批量调用。关键不在“多炫酷”,而在“稳、准、可复现”。
一、生成并分发密钥对(本地机操作)
免密的前提是本地有私钥,远程主机上有对应的公钥。别直接复制 id_rsa —— 用 ssh-keygen 安全生成,再用 ssh-copy-id 一键部署最稳妥。
- 在控制机(你写脚本的那台)运行:ssh-keygen -t rsa -b 4096,一路回车用默认路径(~/.ssh/id_rsa)
- 确认目标主机已开启 SSH 服务且允许公钥认证(检查 /etc/ssh/sshd_config 中 PubkeyAuthentication yes)
- 执行:ssh-copy-id user@192.168.1.10,输入一次密码,公钥自动追加到远程 ~/.ssh/authorized_keys
- 验证:ssh user@192.168.1.10 date,能直接返回时间就成功了
二、批量执行命令的三种实用写法
不依赖第三方工具,纯 Shell 就能搞定常见批量场景。选哪种,取决于目标机器数量、命令复杂度和错误容忍度。
-
for 循环 + ssh:适合几十台以内,逻辑简单
for ip in 192.168.1.{10..15}; do ssh admin@$ip "uptime && free -h" ; done -
while read 读取列表文件:适合上百台、IP 或主机名存文本中
while IFS= read -r host; do ssh "$host" 'df -h / | awk NR==2{print $5}'; done -
封装函数 + 并行控制:提升效率,避免卡死单台
run_on() { ssh "$1" "$2" 2>/dev/null || echo "FAIL: $1"; }; export -f run_on
parallel -j 5 run_on {} "hostname; whoami" (需先 apt install parallel)
三、绕不开的安全与排错细节
免密不是“一配永逸”,权限不对、SELinux、防火墙都可能让 ssh 静静失败——只报 “Permission denied (publickey)” 却不告诉你哪错了。
- 远程 ~/.ssh 目录权限必须是 700,authorized_keys 必须是 600,否则 sshd 拒绝读取
- 如果用非 root 用户但需要 sudo 权限,别在 ssh 命令里输 sudo 密码 —— 改用 NOPASSWD:在远程主机执行 sudo visudo,加一行:
admin ALL=(ALL) NOPASSWD: /usr/bin/systemctl, /bin/mount - 调试时加 -v 参数看详细过程:ssh -v user@host exit,重点关注 “Offering public key” 和 “Authentication succeeded”
- 禁用密码登录前,务必确保免密已 100% 可用,且留一个 root 终端保底
四、进阶提示:跳板机、别名简化与日志留存
真实环境常涉及多层网络,或要长期维护几十个集群。几个小技巧让批量操作更可持续。
- 通过跳板机访问内网机器:在本地 ~/.ssh/config 加一段
Host inner
HostName 10.0.1.20
ProxyJump jump
User appuser
之后直接 ssh inner 就自动走跳板 - 给常用主机起别名:Host db01
HostName 192.168.5.101
User postgres
IdentityFile ~/.ssh/db_key - 批量执行时加时间戳和主机名记录日志:ssh $host "hostname; df -h" >> deploy_$(date +%F).log 2>&1
