使用 PHP exec 函数通过 sshpass 实现自动化 SSH 密码登录

本文详细介绍了如何在 PHP 中利用 `exec` 函数结合 `sshpass` 工具实现对远程服务器的自动化 SSH 登录，无需手动输入密码。教程涵盖了 `sshpass` 的安装、PHP 代码的集成与修改，并重点强调了在生产环境中硬编码密码的安全风险，推荐使用 SSH 密钥对进行更安全的身份验证。

通过 PHP 自动化 SSH 登录与密码管理

在某些自动化场景中，我们可能需要在 PHP 脚本中执行远程服务器上的 SSH 命令。然而，标准的 ssh 命令在非交互式环境中无法直接处理密码输入，这给自动化带来了挑战。本文将介绍如何利用 sshpass 工具解决这一问题，实现在 PHP 中自动化 SSH 登录并传递密码。

理解 SSH 密码输入问题

当在 PHP 中使用 exec() 函数执行 ssh 命令时，例如：

<?php
$server = "your_server_ip";
$username = "your_username";
$command = "uptime";
$cmd_string = "ssh " . $username . "@" . $server . " " . $command;
exec($cmd_string, $output);
print_r($output);
?>

如果远程服务器需要密码验证，ssh 命令会尝试进入交互式模式提示用户输入密码。然而，exec() 函数执行的命令是在后台运行的，无法提供交互式输入，因此 SSH 连接会失败或挂起。

立即学习“PHP免费学习笔记（深入）”；

解决方案：使用 sshpass

sshpass 是一个专门用于非交互式 SSH 密码认证的工具。它允许用户在命令行中直接提供密码，从而避免了交互式提示。

1. 安装 sshpass

sshpass 通常不是系统默认安装的，需要手动安装。根据您的操作系统，可以使用以下命令进行安装：

• Debian/Ubuntu:

  sudo apt-get update
  sudo apt-get install sshpass

  登录后复制
• CentOS/RHEL:

  sudo yum install sshpass

  登录后复制

  如果 yum 找不到 sshpass，可能需要先安装 EPEL 仓库：

  

  码上飞

  码上飞（CodeFlying） 是一款AI自动化开发平台，通过自然语言描述即可自动生成完整应用程序。

  138

  查看详情

  sudo yum install epel-release
  sudo yum install sshpass

  登录后复制
• macOS (通过 Homebrew):

  brew install sshpass

  登录后复制

安装完成后，可以通过运行 sshpass -V 命令来验证是否成功安装。

2. 在 PHP 中集成 sshpass

安装 sshpass 后，我们就可以将其集成到 PHP 的 exec() 命令中。sshpass 的基本用法是 sshpass -p 'your_password' ssh ...。

以下是修改后的 PHP 代码示例，它将使用 sshpass 来传递密码：

<?php

    // 远程服务器的 IP 地址或域名
    $server = "192.168.254.254"; // 请替换为您的服务器IP

    // SSH 用户名
    $username = "root";

    // SSH 密码
    $password = "your_secret_password"; // **重要：请替换为您的实际密码**

    // SSH 端口
    $port = "22";

    // 要在远程服务器上执行的命令
    $command = "uptime";

    // 构建完整的命令字符串，包含 sshpass
    // 注意：密码直接嵌入命令字符串存在安全风险，仅作示例
    $cmd_string = "sshpass -p '" . escapeshellarg($password) . "' ssh -p " . escapeshellarg($port) . " " . escapeshellarg($username) . "@" . escapeshellarg($server) . " " . escapeshellarg($command);

    // 调试输出生成的命令字符串（可选）
    // echo "执行命令: " . $cmd_string . "<br>";

    // 在本地服务器（PHP 文件所在服务器）上执行上述命令
    // output 数组将包含命令的每一行输出
    $output = [];
    $return_var = 0; // 存储命令的返回状态码
    exec($cmd_string, $output, $return_var);

    // 返回输出到浏览器
    echo '<h2>远程服务器 ' . $server . ' 的 ' . $command . ' 命令输出:</h2>';
    if ($return_var === 0) {
        // 命令成功执行
        echo '<pre>';
        print_r($output);
        echo '</pre>';
    } else {
        // 命令执行失败
        echo '<p style="color: red;">命令执行失败，返回码: ' . $return_var . '</p>';
        echo '<pre style="color: red;">错误输出：';
        print_r($output);
        echo '</pre>';
        // 常见的失败原因：sshpass未安装、密码错误、SSH连接问题、远程命令不存在等
    }
?>

代码解释：

• escapeshellarg(): 这个 PHP 函数用于转义命令行参数，以防止命令注入攻击。强烈建议对所有用户提供的或包含特殊字符的参数使用此函数。
• sshpass -p 'your_password': sshpass 的 -p 选项后面直接跟密码。注意密码用单引号 ' ' 包裹，以防特殊字符干扰。
• exec($cmd_string, $output, $return_var): exec() 函数的第三个参数 $return_var 可以捕获命令的返回状态码。0 通常表示成功，非 0 表示失败。这对于错误排查非常有用。

安全注意事项与最佳实践

尽管 sshpass 解决了自动化密码输入的问题，但在生产环境中直接在脚本中硬编码密码是非常不安全的行为。以下是更安全的替代方案和建议：

1. 使用 SSH 密钥对 (推荐): 这是最安全和推荐的自动化 SSH 登录方式。

   • 在 PHP 运行的服务器上生成 SSH 密钥对（公钥和私钥）。
   • 将公钥添加到远程服务器的 ~/.ssh/authorized_keys 文件中。
   • 在 PHP 脚本中，使用 ssh -i /path/to/your/private_key ... 命令进行连接，无需密码。
   • 确保私钥文件权限设置正确（例如 chmod 600 /path/to/your/private_key）。

2. 环境变量或配置文件: 如果必须使用密码，可以考虑将密码存储在只有 PHP 进程才能访问的环境变量中，或者存储在受严格权限保护的配置文件中，而不是直接写在代码里。

3. 限制 sshpass 的使用范围: 如果非用 sshpass 不可，确保只在受信任的、隔离的环境中使用，并严格限制其权限。

4. 最小权限原则: 用于 SSH 登录的用户应该只拥有执行所需任务的最小权限。

总结

通过 sshpass 工具，我们可以在 PHP 中实现非交互式的 SSH 密码认证，从而自动化远程命令的执行。然而，为了确保系统的安全性，强烈建议在生产环境中使用 SSH 密钥对进行身份验证，并避免在代码中硬编码敏感信息。在任何自动化场景中，安全都应是首要考虑的因素。

以上就是使用 PHP exec 函数通过 sshpass 实现自动化 SSH 密码登录的详细内容，更多请关注php中文网其它相关文章！