はじめに
SFTPコマンドは、基本は対話形式ですが、batch modeやヒアドキュメントを使えば、非対話形式で実行することもできます。セキュリティの都合上、システム間のファイル連携を、SFTPサーバ経由でする、といったことは、今でもよくある話です。今回は、一番面倒な、パスフレーズ付きの秘密鍵を使った、公開鍵認証方式でいきます。
また、今更な話題ですが、opensshの開発チームが、scpは古くて使いづらく、sftpかrsyncを使うのを推奨するというのを、2019年4月に出しています。
The scp protocol is outdated, inflexible and not readily fixed. We
recommend the use of more modern protocols like sftp and rsync for
file transfer instead.
この流れは続いてるらしく、scpからsftpへの置き換えを検討しているようです。
A near-future release of OpenSSH will switch scp(1) from using the
legacy scp/rcp protocol to using SFTP by default.
サーバ間のファイルのやりとりは、sftpかrsyncのどちらかに今後はなっていくと思われます。
事前準備
パスフレーズつきの秘密鍵
いまどきは、ed25519で作成したいものです。
$ ssh-keygen -t ed25519
...
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
そうもいかない場合は、RSAの4096bitでいきましょう。
ssh-keygen -t rsa -b 4096
パスフレーズを標準出力するシェルスクリプト
下記のようなものを作成しておきます。
#!/usr/bin/env bash
echo "${鍵作成時に入力したパスフレーズ}"
もちろん、実行権限をつけます
chmod +x askpass.sh
ssh-agent + ssh-add + SSH_ASKPASS
- ssh-agentを起動
- ssh-addで、作成した秘密鍵を登録
- パスフレーズの入力は、SSH_ASKPASSに、パスフレーズを出力するスクリプトのパスを設定
- sftpコマンドが終わったら、ssh-agentを停止
$ eval `ssh-agent`
$ DISPLAY=":0.0" SSH_ASKPASS=askpass.sh setsid ssh-add id_ed25519 </dev/null
$ sftp ${sftp_user}@${sftp_server}
sftp>
...
sftp> quit
$ ssh-agent -k
これで、秘密鍵のパスフレーズ入力が、対話なしでできるようになりました。
あとは、sftpサーバ上で実行するコマンドの部分です。これはヒアドキュメントを使えばいいです。
sftpコマンドを使ったシェルスクリプトは、下記のようになります。
#!/usr/bin/env bash
set -euo pipfail
sftp_user=...
sftp_server=...
eval `ssh-agent`
DISPLAY=":0.0" SSH_ASKPASS=askpass.sh setsid ssh-add ~/.ssh/id_ed25519 </dev/null
sftp ${sftp_user}@${sftp_server} << EOF
put local_file /dst
put local_file2 /dst
get /from/remote_file
quit
EOF