Ayer tenía la tarea de hacer una modificación en un archivo de configuración ( con privilegios de root ) en una serie de máquinas clientes con GNU/Linux, al preguntar a un grupo de amigos me dieron las siguientes soluciones:
1. Usar claves compartidas de ssh
Ajá, esto seria válido si ya tuviera las llaves compartidas, en este caso como no las tengo, tendría que entrar a cada máquina y hacer la configuración, lo cual no es una opción no viable ya que eso es justo lo que quiero evitar.
2. Usar la opción sudo -S de la siguiente manera: echo «password» | sudo -S
Tengo un script que puede ejecutarse automáticamente en cada máquina, pero este se ejecuta con privilegios de usuario, dicho script puede ser modificado y cargado masivamente en cada máquina de la red vía rsync, el detalle con esta solución es que en la distribución cliente los usuarios no están por defecto en el grupo que pueden hacer sudo, por lo cual tendría que configurar /etc/sudoers máquina a máquina para poder implementar esta opción, con lo cual esto ya no es viable.
Viendo ya que la solución debería investigarla por mis medios, pensé en usar la librería:
http://search.cpan.org/~bnegrao/Net-SSH-Expect-1.09/lib/Net/SSH/Expect.pod
Que ya he usado con anterioridad para otras cosas y hacerme un scriptcito en perl, pero de verdad me daba fastidio y pereza instalarla vía CPAN, investigando un poco más di con la solución mas perezosa usando el programa expect, acá hay un ejemplo de como ( el cual use ):
http://modp.com/wiki/sshpasswords
Expect no se usa necesariamente para hacer login remoto ssh o scp, realmente es un programa hecho en tcl que permite controlar programas en consola o linea de comandos ( CLI ) que tienen una interfase interactiva, por ejemplo esos programas que te preguntan opciones y opciones para poder realizar alguna función y requieren una intervención vía teclado para contestarlas, bueno expect bien configurado puede ser usado para responder todas esas preguntas de forma automática.
Sin más preámbulo acá está el cochino script que realice, cabe destacar que no tenía idea de cuantas máquinas cliente existían en la red ( aunque más o menos calculo que podrían ser unas 100 al menos ) ni de sus direcciones ip ( el cliente tiene eso registrado, pero me dio fastidio pedírselo):
#!/bin/bash
for n in {1..9} ; do
for i in {100..140} ; doexpect -c «set timeout 10; eval spawn scp /tmp/rc.local [email protected].$n.$i:/etc/ ; expect ‘yes: $’; send yes\n ; \ expect ‘password: $’; send algunpassword\n ; expect ‘$ $'»
done
done
La linea realmente importante es la que empieza con el comando «expect» precisamente y vamos a explicar sus opciones:
set timeout 10 : Esta opción permite configurar 10 segundos de timeout en caso de no conseguir una respuesta.
eval spawn scp /tmp/rc.local [email protected].$n.$i:/etc/ :
Esta opción es la que ejecuta realmente el scp, al final los últimos 2 octetos de la dirección ip, son variables, provistas por los for de arriba.
expect ‘yes: $’; send yes\n : Esas 2 opciones pueden ser consideradas una sola, y es que como en muchas de esas máquinas clientes nunca se ha conectado vía ssh, entonces se debe aceptar primero la clave RSA del ssh, entonces «expect ‘yes: $» espera que se presente una linea que diga «yes:» y «send yes\n» envía como respuesta yes y aplica un enter luego ( \n).
expect ‘password: $’; send algunpassword\n : Como en la anterior, esto puede ser considerado una sola instrucción y es muy similar a la anterior, se espera la cadena «password:» y cuando se reciba, se contesta con «send algunpassword\n» enviando la password de la sesión e iniciando la transferencia.
expect ‘$ $’ : ya al final coloque esta opción la cual simplemente espera que se entregue un prompt para salir, realmente no se si era necesaria pero sin embargo la coloque por si acaso 😀
Espero que le llegue a servir a alguno, como me sirvio a mi, en menos de 20 minutos ya tenía todos las máquinas cliente plenamente configuradas :-D, tal vez hayan otras opciones incluso más elaboradas, pero me pareció buena esta debido a su sencillez, solo basta con instalar el paquete expect, el cual está en los repositorios de la mayoría de las distribuciones de GNU/Linux.
Por cuestiones de seguridad no me preocupe mucho, debido que todas esas máquinas están en una red local sin acceso a internet y los clientes son prácticamente terminales tontos en donde el usuario tiene perfiles de desktop muy bien delimitados y no tienen acceso a tty, además ya scp cifra la comunicación en la transferencia, incluso en la sesión de login.
Hay alguna forma dentro de expect, de enviar con send un string y el valor de una variable.
por ejemplo: send «print $archivo».
He intentado enviar con send por ejemplo la contraseña ya guardada en una variable pass, y no funciona.
send «$pass\r».
Gracias
Si, si hay, expect, expect usa un lenguaje de scripting propio basado en TCL ( eeeewk ).
echale un ojo a: http://www.minienlace.com/b
y a : http://www.softpanorama.org/Scripting/tcl.shtml
y sobre todo la página oficial de expect:
http://expect.nist.gov/
mira te comento un poco estamos haciendo script para hacer respaldo de archivos con scp + expect.
pero al momento de hacer k se copien los archivos de un lado hacia otro el script se cae y no respalda toda la información. aka te dejo lo k tengo yo
#!/bin/bash
echo "SCRIPT DE RESPALDO SERVIDOR 192.168.1.2"
FECHA=`date +%m%d%y`
echo $FECHA
mkdir "/backups/192.168.0.7/base_datos/$FECHA"
/usr/bin/expect <<EOD
spawn scp -r [email protected].0.7:/cft/*/ /backups/192.168.0.7/base_datos/$FECHA
expect "password:"
send "xxxxxxx
"
expect “$”
expect eof
EOD
exit
echo "SCRIPT COMPLETADO"
Hey!, después de tres años que has publicado este post tuyo es que me encuentro con él y…, pues que ha funcionado de maravillas!!!
Mil gracias!
Saludos desde Chile!
Por nada, Saludos, a mi en todos esos 3 años me ha tocado que volver a leerlo como referencia para algunas otras cosas 🙂