如何脚本自动根密码更改？

Question

目前我们的流程包括登录到每个* nix服务器并手动更改每个服务器的密码。我的问题是，什么是自动执行此操作的好方法？我想可能的几种不同的方法来做到这一点，并希望他人对他们推荐什么样的输入，使用等

我想

一种方法是需要密码的服务器列表的文本文件更改和提示用户输入新密码的脚本，将其暂时存储在脚本中，然后远程连接到每台服务器并运行命令。有一个检查，以确保服务器可达或远程连接超时将是一个好主意。然后输出到控制台，以便运行脚本的人可以看到哪些服务器成功了，哪些服务器不成功。

我想尝试的另一种完全自动化的解决方案，但也想不出来安全地存储新密码的好方法。另外，对于我来说，进行一些用户交互并不得不手动启动脚本，因为我们只需要每年进行6次这样的操作。

任何想法，帮助，想法都将被大大地掩盖。

Answer 1

openssl passwd -1 $rootpw 

其中$ rootpw包含将是您的root密码的字符串。

这将输出，你可以只把文件或任何在加密后的字符串。我在一个脚本上使用它来设置从数据库供应的虚拟服务器实例。我在通过网络发送它之前计算这个散列，因此设置服务器的脚本可以使用这个散列，而不必发送纯文本。

要回答你的问题，每个服务器将计算哈希值略有不同，并导致不同的哈希，但所有这些散列将等同于相同的密码。您可以使用这些散列中的任何一个，并且在任何服务器上使用时，它们在功能上都是等效的，即使散列的实际内容不同。

例如，我散列foobar的，并且这些是结果：

rootpw=foobar 
openssl passwd -1 $rootpw 
$1$6pXamKGD$TKQqON1prArop7DpLOyAk1 

openssl passwd -1 $rootpw 
$1$4A4Mn16f$P7ap2AqNMRK8m72bG/Bve0 

openssl passwd -1 $rootpw 
$1$DyhsWEMX$i2wH6JpAqoHNFZ0YOBVHj/ 

openssl passwd -1 $rootpw 
$1$m27FIj5e$LZPxVniAeUoZcuUoNHK8c/ 

openssl passwd -1 $rootpw 
$1$qdX0NKm1$45rzxUj..LCJwWB/.fwGH0 

在同一台机器上计算，但它们中的任何可被用于等同于密码即使当每个那些散列的是不同的“foobar的'在任何机器上。

因此，只要打开/ etc /你找到行的阴影并粘贴在那里：

root:$1$qdX0NKm1$45rzxUj..LCJwWB/.fwGH0:14415:0:99999:7::: 

在我的剧本我爆发，在：的和更新的元素[1]，然后将数组回到一个字符串并替换文件中的字符串。如果你愿意，你可以以不同的方式做，特别是如果你知道旧值（你可以通过将它分解成数组来获得）。

我知道这个问题是一个几个月大的，所以你可能理解了它，但我把这个在那里为任何未来的Google员工磨磨蹭蹭并发现这一点。

Answer 2

您应该计算哈希什么是您的服务器计算上的密码，并发送在这个担保，散列形式的密码，随时准备投入/etc/shadow。然而，我不知道如何在实践中如何去做到这一点。