paramiko使用
paramiko模塊是基於python實現了SSH2遠程安全連接,支持認證和密鑰方式,可以實現遠程連接、命令執行、文件傳輸、中間SSH代理功能
安裝
pip install paramiko
或 easy_install paramiko
paramiko依賴第三方的Crypto,Ecdsa和pyhton-devel,所以需要安裝
paramiko核心組件
SSHClient類
SSHClient類是SSH服務會話的高級表示,該類實現了傳輸、通道、以及SFTP的校驗、建立的方法
-
connect 方法
connect方法實現了遠程ssh連接並作校驗
- 參數
- hostname 連接的目標主機
- port=SSH_PORT 指定端口
- username=None 驗證的用戶名
- password=None 驗證的用戶密碼
- pkey=None 私鑰方式用於身份驗證
- key_filename=None 一個文件名或文件列表,指定私鑰文件
- timeout=None 可選的tcp連接超時時間
- allow_agent=True, 是否允許連接到ssh代理,默認為True 允許
- look_for_keys=True 是否在~/.ssh中搜索私鑰文件,默認為True 允許
- compress=False, 是否打開壓縮
- sock=None,
- gss_auth=False,
- gss_kex=False,
- gss_deleg_creds=True,
- gss_host=None,
- banner_timeout=None
- 參數
-
exec_command方法
遠程執行命令的方法,該命令的輸入與輸出流為標准輸入、標出輸出、標准錯誤輸出
- 參數
- command 執行的命令
- bufsize=-1 文件緩沖區大小
- timeout=None
- get_pty=False
- 參數
-
load_system_host_key方法
夾在本地公鑰文件,默認為~/.ssh/known_hosts
- 參數
- filename=None 指定本地公鑰文件
- 參數
-
set_missing_host_key_policy方法
設置連接的遠程主機沒有本地主機密鑰或HostKeys對象時的策略,目前支持三種:- AutoAddPolicy 自動添加主機名及主機密鑰到本地HostKeys對象,不依賴load_system_host_key的配置。即新建立ssh連接時不需要再輸入yes或no進行確認
- WarningPolicy 用於記錄一個未知的主機密鑰的python警告。並接受,功能上和AutoAddPolicy類似,但是會提示是新連接
- RejectPolicy 自動拒絕未知的主機名和密鑰,依賴load_system_host_key的配置。此為默認選項
用法:
set_missing_host_key_policy(paramiko.AutoAddPolicy())
SFTPClient類
SFTPCLient作為一個sftp的客戶端對象,根據ssh傳輸協議的sftp會話,實現遠程文件操作,如上傳、下載、權限、狀態
- from_transport(cls,t) 創建一個已連通的SFTP客戶端通道
- put(localpath, remotepath, callback=None, confirm=True) 將本地文件上傳到服務器 參數confirm:是否調用stat()方法檢查文件狀態,返回ls -l的結果
- get(remotepath, localpath, callback=None) 從服務器下載文件到本地
- mkdir() 在服務器上創建目錄
- remove() 在服務器上刪除目錄
- rename() 在服務器上重命名目錄
- stat() 查看服務器文件狀態
- listdir() 列出服務器目錄下的文件
遠程連接並執行命令
實現遠程連接主機,並執行命令,同時記錄日志
* 直接驗證方式
import paramiko host = '172.16.200.45' port = 22 user = 'root' passwd = '123123' # 創建SSH對象 ssh = paramiko.SSHClient() # 允許連接不在know_hosts文件中的主機 ssh.set_missing_host_key_policy(paramiko.AutoAddPolicy()) # 連接服務器 ssh.connect(hostname=host, port=port, username=user, password=passwd) paramiko.util.log_to_file('syslogin.log') #將登錄信息記錄日志 # 執行命令 stdin, stdout, stderr = ssh.exec_command('df') # 獲取命令結果 result = stdout.read() print(result) # 關閉連接 ssh.close()
- SSHClient 封裝 Transport
import paramiko host = '172.16.200.45' port = 22 user = 'root' passwd = '123123' transport = paramiko.Transport((host, port)) transport.connect(username=user, password=passwd) ssh = paramiko.SSHClient() ssh._transport = transport stdin, stdout, stderr = ssh.exec_command('df') print(stdout.read())
- 基於公鑰密鑰連接
import paramiko private_key = paramiko.RSAKey.from_private_key_file('/home/fuzengjie/.ssh/id_rsa') # 創建SSH對象 ssh = paramiko.SSHClient() # 允許連接不在know_hosts文件中的主機 ssh.set_missing_host_key_policy(paramiko.AutoAddPolicy()) # 連接服務器 ssh.connect(hostname='172.16.200.45', port=22, username='fuzengjie', key=private_key) # 執行命令 stdin, stdout, stderr = ssh.exec_command('df') # 獲取命令結果 result = stdout.read() # 關閉連接 ssh.close()
- SSHClient 封裝 Transport 使用公鑰方式
import paramiko private_key = paramiko.RSAKey.from_private_key_file('/home/fuzengjie/.ssh/id_rsa') transport = paramiko.Transport(('172.16.200.45', 22)) transport.connect(username='fuzengjie', pkey=private_key) ssh = paramiko.SSHClient() ssh._transport = transport stdin, stdout, stderr = ssh.exec_command('df') transport.close()
遠程連接實現文件上傳下載
- 基於用戶名密碼上傳下載
import paramiko host = '172.16.200.45' port = 22 user = 'root' passwd = '123123' transport = paramiko.Transport((host,port)) transport.connect(username=user,password=passwd) sftp = paramiko.SFTPClient.from_transport(transport) # 將location.py 上傳至服務器 /tmp/test.py a = sftp.put('/Users/fuzengjie/1', '/tmp/fuzj123',confirm=True) print(a) #打印上傳到服務器上的文件狀態 # 將remove_path 下載到本地 local_path sftp.get('/root/tesst.py', '/Users/fuzengjie/test.py') transport.close()
- 基於公鑰密鑰上傳下載
import paramiko private_key = paramiko.RSAKey.from_private_key_file('/home/fuzengjie/.ssh/id_rsa') transport = paramiko.Transport(('172.16.200.45', 22)) transport.connect(username='fuzengjie', pkey=private_key ) sftp = paramiko.SFTPClient.from_transport(transport) # 將location.py 上傳至服務器 /tmp/test.py sftp.put('/tmp/location.py', '/tmp/test.py') # 將remove_path 下載到本地 local_path sftp.get('/root/123.txt', '/tmp/123') transport.close()
堡壘機實現
- 架構
堡壘機的主要作用權限控制和用戶行為審計,堡壘機就像一個城堡的大門,城堡里的所有建築就是你不同的業務系統 , 每個想進入城堡的人都必須經過城堡大門並經過大門守衛的授權,每個進入城堡的人必須且只能嚴格按守衛的分配進入指定的建築,且每個建築物還有自己的權限訪問控制,不同級別的人可以到建築物里不同樓層的訪問級別也是不一樣的。還有就是,每個進入城堡的人的所有行為和足跡都會被嚴格的監控和紀錄下來,一旦發生犯罪事件,城堡管理人員就可以通過這些監控紀錄來追蹤責任人。 

- 堡壘機執行流程:
管理員為用戶在服務器上創建賬號(將公鑰放置服務器,或者使用用戶名密碼)
用戶登陸堡壘機,輸入堡壘機用戶名密碼,現實當前用戶管理的服務器列表
用戶選擇服務器,並自動登陸
執行操作並同時將用戶操作記錄
- 代碼
import paramiko import sys import os import socket import getpass from paramiko.py3compat import u # windows does not have termios... try: import termios import tty has_termios = True except ImportError: has_termios = False def interactive_shell(chan): if has_termios: posix_shell(chan) else: windows_shell(chan) def posix_shell(chan): import select oldtty = termios.tcgetattr(sys.stdin) try: tty.setraw(sys.stdin.fileno()) tty.setcbreak(sys.stdin.fileno()) chan.settimeout(0.0) log = open('handle.log', 'a+', encoding='utf-8') flag = False temp_list = [] while True: r, w, e = select.select([chan, sys.stdin], [], []) if chan in r: try: x = u(chan.recv(1024)) if len(x) == 0: sys.stdout.write('\r\n*** EOF\r\n') break if flag: if x.startswith('\r\n'): pass else: temp_list.append(x) flag = False sys.stdout.write(x) sys.stdout.flush() except socket.timeout: pass if sys.stdin in r: x = sys.stdin.read(1) import json if len(x) == 0: break if x == '\t': flag = True else: temp_list.append(x) if x == '\r': log.write(''.join(temp_list)) log.flush() temp_list.clear() chan.send(x) finally: termios.tcsetattr(sys.stdin, termios.TCSADRAIN, oldtty) def windows_shell(chan): import threading sys.stdout.write("Line-buffered terminal emulation. Press F6 or ^Z to send EOF.\r\n\r\n") def writeall(sock): while True: data = sock.recv(256) if not data: sys.stdout.write('\r\n*** EOF ***\r\n\r\n') sys.stdout.flush() break sys.stdout.write(data) sys.stdout.flush() writer = threading.Thread(target=writeall, args=(chan,)) writer.start() try: while True: d = sys.stdin.read(1) if not d: break chan.send(d) except EOFError: # user hit ^Z or F6 pass def run(): default_username = getpass.getuser() username = input('Username [%s]: ' % default_username) if len(username) == 0: username = default_username hostname = input('Hostname: ') if len(hostname) == 0: print('*** Hostname required.') sys.exit(1) tran = paramiko.Transport((hostname, 22,)) tran.start_client() default_auth = "p" auth = input('Auth by (p)assword or (r)sa key[%s] ' % default_auth) if len(auth) == 0: auth = default_auth if auth == 'r': default_path = os.path.join(os.environ['HOME'], '.ssh', 'id_rsa') path = input('RSA key [%s]: ' % default_path) if len(path) == 0: path = default_path try: key = paramiko.RSAKey.from_private_key_file(path) except paramiko.PasswordRequiredException: password = getpass.getpass('RSA key password: ') key = paramiko.RSAKey.from_private_key_file(path, password) tran.auth_publickey(username, key) else: pw = getpass.getpass('Password for %s@%s: ' % (username, hostname)) tran.auth_password(username, pw) # 打開一個通道 chan = tran.open_session() # 獲取一個終端 chan.get_pty() # 激活器 chan.invoke_shell() interactive_shell(chan) chan.close() tran.close() if __name__ == '__main__': run()