LinuxSSH自动登录脚本与Expect使用教程

本文深入剖析了Linux下SSH自动登录的两种主流方案——密钥认证与Expect脚本交互，并直击实践中高频踩坑点：密钥登录失败往往并非生成问题，而是authorized_keys权限（600）或.ssh目录权限（700）错误、公钥被覆盖而非追加；Expect脚本失效则多因硬编码“password:”无法匹配本地化/变体提示、超时未设或变量传递不当；文章明确指出sshpass存在安全与兼容性硬伤，而Expect虽灵活却属临时补丁——真正的高效与稳定之道，在于用ssh-copy-id统一部署密钥、配合~/.ssh/config别名和合理配置，实现一次配置、长期免密、零维护的自动化运维根基。

ssh-keygen 生成密钥后为什么还是提示输密码？

最常见原因是公钥没进 ~/.ssh/authorized_keys，或者权限不对。服务器上 .ssh 目录必须是 700，authorized_keys 文件必须是 600，否则 OpenSSH 直接拒绝读取。

• 检查远程用户家目录下 .ssh 是否存在：ssh user@host 'ls -ld ~/.ssh'
• 确认公钥已追加（不是覆盖）：ssh user@host 'cat ~/.ssh/authorized_keys | tail -n 1'，应看到你本地 id_rsa.pub 的最后一行
• 手动修复权限（在远程执行）：ssh user@host 'chmod 700 ~/.ssh && chmod 600 ~/.ssh/authorized_keys'
• 别用 scp ~/.ssh/id_rsa.pub user@host:~/.ssh/authorized_keys —— 这会覆盖已有公钥，应改用 ssh-copy-id 或 cat ... >>

expect 脚本里 “password:” 匹配不到怎么办？

OpenSSH 的密码提示字符串不固定，可能带空格、冒号位置偏移，甚至被 LANG 影响成中文。硬写 "password:" 极易失效。

• 先抓真实输出：ssh user@host 2>&1 | hexdump -C | head -20，看终端实际发的是什么字节序列
• 用模糊匹配代替精确字符串，例如：expect -re "(password|Password|pass:)"
• 加上 exp_continue 处理可能的重试提示（如 “Permission denied, please try again.”）
• set timeout 10 必须显式设置，否则默认超时只有 10 秒，网络延迟高时直接失败

多个目标主机怎么避免重复写 expect 脚本？

把主机信息抽出来，用 shell 变量驱动 expect，而不是为每台机器写一个脚本。

• 定义变量传入：expect -c "set host [lindex \$argv 0]; set pass [lindex \$argv 1]; spawn ssh \$host; expect \"password:\"; send \"\$pass\r\"; interact" server1.example.com mypass
• 配合 for 循环批量操作：for host in srv-a srv-b srv-c; do expect -f login.exp $host; done
• 注意：expect 本身不解析 shell 变量，$host 必须由外部 shell 展开后传入，不能写成 spawn ssh $host 放在 expect 脚本里
• 更稳妥的做法是用 ~/.ssh/config 配好别名 + 密钥，再用普通 ssh 命令，根本不用 expect

sshpass 和 expect 哪个更靠谱？

sshpass 看似简单，但实际问题更多：它依赖 TTY 模拟，遇到 StrictHostKeyChecking=yes 或首次连接的 yes/no 提示就卡死；且密码明文出现在进程参数里，ps aux 可见。

• sshpass -p 'xxx' ssh -o StrictHostKeyChecking=no user@host 仅适用于完全受控内网环境
• expect 能逐行控制交互流，可处理 yes/no、多级跳转、命令回显判断等复杂场景
• 但 expect 是“补丁方案”——只要能改服务器配 PubkeyAuthentication yes，就别用 expect 或 sshpass
• 真正该花时间的地方是统一部署密钥：用 ssh-copy-id + ~/.ssh/config + 别名 alias，一劳永逸

密钥登录看似步骤多，但一次配置，长期免维护；expect 脚本写得再稳，只要服务器 SSH banner 或提示语微调，就可能断在某一行。别为了省那三分钟，埋下半夜排查的坑。

以上就是本文的全部内容了，是否有顺利帮助你解决问题？若是能给你带来学习上的帮助，请大家多多支持golang学习网！更多关于文章的相关知识，也可关注golang学习网公众号。