Paramiko和堡垒机实现
一、Paramiko
- paramiko模块,基于SSH用于连接远程服务器并执行相关操作。
1、安装:pip install paramiko
2、SSHClient:用于连接远程服务器并执行基本命令
- 基于用户名密码连接
import paramiko # 创建SSH对象 ssh = paramiko.SSHClient() # 允许连接不在know_hosts文件中的主机 ssh.set_missing_host_key_policy(paramiko.AutoAddPolicy()) # 连接服务器 ssh.connect(hostname='192.168.1.200', port=2000, username='root', password='123') # 执行命令 stdin, stdout, stderr = ssh.exec_command('ls') # 获取命令结果 result = stdout.read() # 关闭连接 ssh.close()
#自己创建transport import paramiko transport = paramiko.Transport(('192.168.1.200', 2000)) transport.connect(username='root', password='123') ssh = paramiko.SSHClient() ssh._transport = transport stdin, stdout, stderr = ssh.exec_command('df') print stdout.read() transport.close()
3、SFTPClient:用于连接远程服务器并执行上传下载
- 基于用户名密码上传下载:
import paramiko transport = paramiko.Transport(('192.168.1.200',2000)) transport.connect(username='root',password='123') sftp = paramiko.SFTPClient.from_transport(transport) # 将location.py 上传至服务器 /tmp/test.py sftp.put('/tmp/location.py', '/tmp/test.py') # 将remove_path 下载到本地 local_path sftp.get('remove_path', 'local_path') transport.close()
4、transport实例
import paramiko class SSHConnection: def __init__(self,hostname='192.168.1.200',port=2000,username='root',pwd='123'): self.hostname = hostname self.port = port self.username = username self.pwd = pwd self._k = None def connect(self): '''连接服务器''' transport = paramiko.Transport((self.hostname,self.port)) transport.connect(username=self.username,password=self.pwd) self.__transport = transport def close(self): '''关闭链接''' self.__transport.close() def cmd(self,command): '''执行命令''' ssh = paramiko.SSHClient() ssh._transport = self.__transport stdin,stdout,stderr = ssh.exec_command(command) ret = stdout.read() return ret def upload(self,local_path,target_path): '''上传文件''' sftp = paramiko.SFTPClient.from_transport(self.__transport) sftp.put(local_path,target_path) def run(self): '''主程序''' self.connect() ret = self.cmd('ls') print(ret.decode('utf-8')) self.upload('ssh_client.py','/tmp/s1.py') self.close() if __name__ == "__main__": ssh = SSHConnection() ssh.run()
二、堡垒机
堡垒机执行流程:
- 管理员为用户在服务器上创建账号(将公钥放置服务器,或者使用用户名密码)
- 用户登陆堡垒机,输入堡垒机用户名密码,现实当前用户管理的服务器列表
- 用户选择服务器,并自动登陆
- 执行操作并同时将用户操作记录
注:配置.brashrc实现ssh登陆后自动执行脚本,如:/usr/bin/python /home/wupeiqi/menu.py
1、前戏
import paramiko
import sys
import os
import socket
import select
import getpass
tran = paramiko.Transport(('192.168.1.200', 2000,))
tran.start_client()
tran.auth_password('root', '123')
# 打开一个通道
chan = tran.open_session()
# 获取一个终端
chan.get_pty()
# 激活器
chan.invoke_shell()
#########
# 利用sys.stdin,肆意妄为执行操作
# 用户在终端输入内容,并将内容发送至远程服务器
# 远程服务器执行命令,并将结果返回
# 用户终端显示内容
#########
chan.close()
tran.close()
2、肆意妄为(一)
import paramiko
import sys
import os
import socket
import select
import getpass
from paramiko.py3compat import u
tran = paramiko.Transport(('192.168.1.200', 2000,))
tran.start_client()
tran.auth_password('root', '123')
# 打开一个通道
chan = tran.open_session()
# 获取一个终端
chan.get_pty()
# 激活器
chan.invoke_shell()
while True:
# 监视用户输入和服务器返回数据
# sys.stdin 处理用户输入
# chan 是之前创建的通道,用于接收服务器返回信息
readable, writeable, error = select.select([chan, sys.stdin, ],[],[],1)
if chan in readable:
try:
x = u(chan.recv(1024))
if len(x) == 0:
print('\r\n*** EOF\r\n')
break
sys.stdout.write(x)
sys.stdout.flush()
except socket.timeout:
pass
if sys.stdin in readable:
inp = sys.stdin.readline()
chan.sendall(inp)
chan.close()
tran.close()
import paramiko import sys import os import socket import select import getpass from paramiko.py3compat import u default_username = getpass.getuser() username = input('Username [%s]: ' % default_username) if len(username) == 0: username = default_username hostname = input('Hostname: ') if len(hostname) == 0: print('*** Hostname required.') sys.exit(1) tran = paramiko.Transport((hostname, 22,)) tran.start_client() default_auth = "p" auth = input('Auth by (p)assword or (r)sa key[%s] ' % default_auth) if len(auth) == 0: auth = default_auth if auth == 'r': default_path = os.path.join(os.environ['HOME'], '.ssh', 'id_rsa') path = input('RSA key [%s]: ' % default_path) if len(path) == 0: path = default_path try: key = paramiko.RSAKey.from_private_key_file(path) except paramiko.PasswordRequiredException: password = getpass.getpass('RSA key password: ') key = paramiko.RSAKey.from_private_key_file(path, password) tran.auth_publickey(username, key) else: pw = getpass.getpass('Password for %s@%s: ' % (username, hostname)) tran.auth_password(username, pw) # 打开一个通道 chan = tran.open_session() # 获取一个终端 chan.get_pty() # 激活器 chan.invoke_shell() while True: # 监视用户输入和服务器返回数据 # sys.stdin 处理用户输入 # chan 是之前创建的通道,用于接收服务器返回信息 readable, writeable, error = select.select([chan, sys.stdin, ],[],[],1) if chan in readable: try: x = u(chan.recv(1024)) if len(x) == 0: print('\r\n*** EOF\r\n') break sys.stdout.write(x) sys.stdout.flush() except socket.timeout: pass if sys.stdin in readable: inp = sys.stdin.readline() chan.sendall(inp) chan.close() tran.close()
3、肆意妄为(二)
import paramiko import sys import os import socket import select import getpass import termios import tty from paramiko.py3compat import u tran = paramiko.Transport(('10.211.55.4', 22,)) tran.start_client() tran.auth_password('wupeiqi', '123') # 打开一个通道 chan = tran.open_session() # 获取一个终端 chan.get_pty() # 激活器 chan.invoke_shell() # 获取原tty属性 oldtty = termios.tcgetattr(sys.stdin) try: # 为tty设置新属性 # 默认当前tty设备属性: # 输入一行回车,执行 # CTRL+C 进程退出,遇到特殊字符,特殊处理。 # 这是为原始模式,不认识所有特殊符号 # 放置特殊字符应用在当前终端,如此设置,将所有的用户输入均发送到远程服务器 tty.setraw(sys.stdin.fileno()) chan.settimeout(0.0) while True: # 监视 用户输入 和 远程服务器返回数据(socket) # 阻塞,直到句柄可读 r, w, e = select.select([chan, sys.stdin], [], [], 1) if chan in r: try: x = u(chan.recv(1024)) if len(x) == 0: print('\r\n*** EOF\r\n') break sys.stdout.write(x) sys.stdout.flush() except socket.timeout: pass if sys.stdin in r: x = sys.stdin.read(1) if len(x) == 0: break chan.send(x) finally: # 重新设置终端属性 termios.tcsetattr(sys.stdin, termios.TCSADRAIN, oldtty) chan.close() tran.close()
import paramiko import sys import os import socket import getpass import termios import tty import select from paramiko.py3compat import u def interactive_shell(chan): # 获取原tty属性 oldtty = termios.tcgetattr(sys.stdin) try: # 为tty设置新属性 # 默认当前tty设备属性: # 输入一行回车,执行 # CTRL+C 进程退出,遇到特殊字符,特殊处理。 # 这是为原始模式,不认识所有特殊符号 # 放置特殊字符应用在当前终端,如此设置,将所有的用户输入均发送到远程服务器 tty.setraw(sys.stdin.fileno()) tty.setcbreak(sys.stdin.fileno()) chan.settimeout(0.0) while True: r, w, e = select.select([chan, sys.stdin], [], []) if chan in r: try: x = u(chan.recv(1024)) if len(x) == 0: sys.stdout.write('\r\n*** EOF\r\n') break sys.stdout.write(x) sys.stdout.flush() except socket.timeout: pass if sys.stdin in r: x = sys.stdin.read(1) if len(x) == 0: break chan.send(x) finally: # 重新设置终端属性 termios.tcsetattr(sys.stdin, termios.TCSADRAIN, oldtty) def run(): hostname = input('请输入主机名: ') tran = paramiko.Transport((hostname, 22,)) tran.start_client() username = input('请输入用户名: ') auth = input('请输入密码进行验证(p) 或 (r)sa Key进行验证?') if auth == 'r': path = input('请输入RSA key 路径: ') try: key = paramiko.RSAKey.from_private_key_file(path) except paramiko.PasswordRequiredException: password = getpass.getpass('RSA key password: ') key = paramiko.RSAKey.from_private_key_file(path, password) tran.auth_publickey(username, key) else: pw = getpass.getpass('请输入密码 %s@%s: ' % (username, hostname)) tran.auth_password(username, pw) # 打开一个通道 chan = tran.open_session() # 获取一个终端 chan.get_pty() # 激活器 chan.invoke_shell() interactive_shell(chan) chan.close() tran.close() if __name__ == '__main__': run()
import paramiko import sys import os import socket import getpass import termios import tty import select from paramiko.py3compat import u def interactive_shell(chan): # 获取原tty属性 oldtty = termios.tcgetattr(sys.stdin) try: # 为tty设置新属性 # 默认当前tty设备属性: # 输入一行回车,执行 # CTRL+C 进程退出,遇到特殊字符,特殊处理。 # 这是为原始模式,不认识所有特殊符号 # 放置特殊字符应用在当前终端,如此设置,将所有的用户输入均发送到远程服务器 tty.setraw(sys.stdin.fileno()) tty.setcbreak(sys.stdin.fileno()) chan.settimeout(0.0) while True: r, w, e = select.select([chan, sys.stdin], [], []) if chan in r: try: x = u(chan.recv(1024)) if len(x) == 0: sys.stdout.write('\r\n*** EOF\r\n') break sys.stdout.write(x) sys.stdout.flush() except socket.timeout: pass if sys.stdin in r: x = sys.stdin.read(1) if len(x) == 0: break chan.send(x) finally: # 重新设置终端属性 termios.tcsetattr(sys.stdin, termios.TCSADRAIN, oldtty) def run(): db_dict = { 'c1.salt.com': { 'root': {'user': 'root', 'auth': 'r', "cert": 'key路径'}, 'alex': {'user': 'alex', 'auth': 'p', "cert": '密码'}, }, 'c2.salt.com': { 'alex': {'user': 'alex', 'auth': 'p', "cert": '密码'}, }, } for row in db_dict.keys(): print(row) hostname = input('请选择主机: ') tran = paramiko.Transport((hostname, 22,)) tran.start_client() for item in db_dict[hostname].keys(): print(item) username = input('请输入用户: ') user_dict = db_dict[hostname][username] if username['auth'] == 'r': key = paramiko.RSAKey.from_private_key_file(user_dict['cert']) tran.auth_publickey(username, key) else: pw = user_dict['cert'] tran.auth_password(username, pw) # 打开一个通道 chan = tran.open_session() # 获取一个终端 chan.get_pty() # 激活器 chan.invoke_shell() interactive_shell(chan) chan.close() tran.close() if __name__ == '__main__': run()
import paramiko import sys import os import socket import getpass import termios import tty import select from paramiko.py3compat import u def interactive_shell(chan): # 获取原tty属性 oldtty = termios.tcgetattr(sys.stdin) try: # 为tty设置新属性 # 默认当前tty设备属性: # 输入一行回车,执行 # CTRL+C 进程退出,遇到特殊字符,特殊处理。 # 这是为原始模式,不认识所有特殊符号 # 放置特殊字符应用在当前终端,如此设置,将所有的用户输入均发送到远程服务器 tty.setraw(sys.stdin.fileno()) tty.setcbreak(sys.stdin.fileno()) chan.settimeout(0.0) log = open('handle.log', 'a+', encoding='utf-8') flag = False temp_list = [] while True: r, w, e = select.select([chan, sys.stdin], [], []) if chan in r: try: x = u(chan.recv(1024)) if len(x) == 0: sys.stdout.write('\r\n*** EOF\r\n') break # 如果用户上一次点击的是tab键,则获取返回的内容写入在记录中 if flag: if x.startswith('\r\n'): pass else: temp_list.append(x) flag = False sys.stdout.write(x) sys.stdout.flush() except socket.timeout: pass if sys.stdin in r: # 读取用户在终端数据每一个字符 x = sys.stdin.read(1) if len(x) == 0: break # 如果用户点击TAB键 if x == '\t': flag = True else: # 未点击TAB键,则将每个操作字符记录添加到列表中,以便之后写入文件 temp_list.append(x) # 如果用户敲回车,则将操作记录写入文件 if x == '\r': log.write(''.join(temp_list)) log.flush() temp_list.clear() chan.send(x) finally: # 重新设置终端属性 termios.tcsetattr(sys.stdin, termios.TCSADRAIN, oldtty) def run(): db_dict = { 'c1.salt.com': { 'root': {'user': 'root', 'auth': 'r', "cert": 'key路径'}, 'alex': {'user': 'alex', 'auth': 'p', "cert": '密码'}, }, 'c2.salt.com': { 'root': {'user': 'root', 'auth': 'r', "cert": 'key路径'}, 'alex': {'user': 'alex', 'auth': 'p', "cert": '密码'}, }, } for row in db_dict.keys(): print(row) hostname = input('请选择主机: ') tran = paramiko.Transport((hostname, 22,)) tran.start_client() for item in db_dict[hostname].keys(): print(item) username = input('请输入用户: ') user_dict = db_dict[hostname][username] if username['auth'] == 'r': key = paramiko.RSAKey.from_private_key_file(user_dict['cert']) tran.auth_publickey(username, key) else: pw = user_dict['cert'] tran.auth_password(username, pw) # 打开一个通道 chan = tran.open_session() # 获取一个终端 chan.get_pty() # 激活器 chan.invoke_shell() interactive_shell(chan) chan.close() tran.close() if __name__ == '__main__': run()
