首页 > 文章 > python教程

Python3如何通过SSH批量巡检数百台Linux服务器

时间：2026-05-06 08:36:51 456浏览收藏

今天golang学习网给大家带来了《Python3如何通过SSH批量巡检数百台Linux服务器》，其中涉及到的知识点包括等等，无论你是小白还是老手，都适合看一看哦~有好的建议也欢迎大家在评论留言，若是看完有所收获，也希望大家能多多点赞支持呀！一起加油学习~

能，但需并发控制、连接复用和错误隔离：paramiko 默认不复用连接，易触发 socket 和 MaxStartups 限制；exec_command() 易截断输出；单点故障会导致全局阻塞；应使用 invoke_shell() 模拟终端、设超时、限流线程池、妥善处理密钥权限与认证。

能，但直接用 paramiko 串行遍历数百台服务器会卡死、超时、漏结果——必须加并发控制、连接复用和错误隔离。

看似最简，实则最危险：每台机器新建一个 SSH 连接 + 每条命令单独 exec_command() 调用，会导致：

paramiko 默认不复用连接，数百次 connect() 会耗尽本地 socket 和远端 sshd 的 MaxStartups 限制（默认 10）
exec_command() 返回的 stdout 是 channel 级流，未及时 recv() 完就关 channel，容易截断输出（尤其 top、ps 类带分页/颜色的命令）
某台服务器卡住（如磁盘满、sshd hang），整个脚本阻塞，后续所有机器全跳过
没有超时兜底，connect() 或 exec_command() 可能挂十几分钟不动

对需要模拟终端行为的巡检命令（如 df -h、free -g、supervisorctl status），invoke_shell() 更可靠：

它启动一个伪终端（pty），能正确处理 ANSI 颜色码、换行符、more/less 分页提示
用 send() 发命令后，必须等 prompt 出现再读取，否则 recv() 可能只拿到一半输出
建议在每条命令后加 echo "===END_OF_COMMAND==="，然后用 recv() 循环直到收到该标记，避免依赖固定 time.sleep()
务必设 timeout 参数：ssh.connect(..., timeout=5) 和 channel.settimeout(10)

Python GIL 下开 200 个线程毫无意义，且极易触发系统级资源限制：

Linux 默认每个用户最多 1024 个文件描述符，paramiko 每个连接至少占 3 个 fd（stdin/stdout/stderr），200 连接就吃掉 600+，再加日志、文件句柄就爆了
推荐用 concurrent.futures.ThreadPoolExecutor 限流，max_workers=10~20 更稳妥（取决于远端 sshd 的 MaxStartups 和你本地内存）
别用 asyncio + asyncssh —— 虽然更轻量，但 asyncssh 对老版本 OpenSSH（如 CentOS 6/7 自带）兼容性差，握手易失败
每台机器的任务要包在 try/except 里，捕获 paramiko.SSHException、socket.timeout、EOFError，记录 IP 和错误类型，绝不让单点失败中断全局

生产环境几乎不用密码登录，但密钥路径和权限常被忽略：

密码方式：必须设 look_for_keys=False，否则 paramiko 会先扫 ~/.ssh/id_rsa 等私钥，找不到才试密码；若私钥存在但权限不对（如 644），会静默失败
密钥方式：用 paramiko.RSAKey.from_private_key_file(path, password='xxx')，注意密钥密码是解密私钥的口令，不是 SSH 登录密码
密钥文件权限必须是 600（chmod 600 /path/to/id_rsa），否则 OpenSSH 协议拒绝加载
不要把密码明文写在脚本里；用环境变量（os.getenv('SSH_PASS')）或配置文件（需 chmod 600）