群集架構(gòu)批量分發(fā)管理方案介紹及案例說(shuō)明（SSHKEY）

?

IT公司企業(yè)級(jí)批量分發(fā)\管理方案：

1.?????? 中小企業(yè)最基本使用的SSHKEY密鑰的方案。

2.?????? 門戶網(wǎng)站PUPPET（復(fù)雜），大型企業(yè)所需

3.?????? SALTSTACK批量管理（輕量）

運(yùn)維原則：簡(jiǎn)單、易用、高效

?

使用SSHKEY方案實(shí)現(xiàn)免密碼登錄

免密碼登錄原理：

請(qǐng)求者擁有自己生成的公鑰和私鑰，公鑰分發(fā)到各個(gè)客戶端上，當(dāng)請(qǐng)求者連接這些客戶端的時(shí)候?qū)崿F(xiàn)免密碼登錄。

?

密鑰分類：DSA和RSA密鑰

在nfs-server輸入ssh-keygen –t dsa，一路回車生成密鑰對(duì)

查看~/.ssh目錄

Id_dsa是私鑰 id_dsa.pub是公鑰

?

公鑰復(fù)制：

如果數(shù)目不大直接用下面的命令就可滿足，如果是上百臺(tái)建議使用expect

ssh-copy-id -i id_dsa.pub? oldgirl@192.168.24.21

默認(rèn)會(huì)使用ssh的端口22去傳輸，如果有修改過(guò)可以添加-p 端口 去指定，例如：

?

利用免密碼可以實(shí)現(xiàn)一些如下功能示例

可以通過(guò)這個(gè)實(shí)現(xiàn)免密傳輸文件等執(zhí)行一些腳本

?

通過(guò)循環(huán)執(zhí)行相同的事情：

?

其中執(zhí)行命令sh fenfa.sh hosts中hosts這個(gè)賦值到$1內(nèi)去

?

添加，如果沒(méi)參數(shù)($#)報(bào)出錯(cuò)誤提示。

若參數(shù)$#個(gè)數(shù)少于1，則提示,其中$0代表腳本名稱

?

實(shí)現(xiàn)效果

?

SSH批量分發(fā)與管理方案小結(jié)：

?

1.利用root做ssh key驗(yàn)證

???????? 優(yōu)點(diǎn)：簡(jiǎn)單，易用

???????? 缺點(diǎn)：安全差，同時(shí)無(wú)法禁止root遠(yuǎn)程連接這個(gè)功能。

???????? 企業(yè)應(yīng)用：80%的中小企業(yè)。

?

2.利用普通用戶如oldgirl來(lái)做

???????? 思路是先把文件拷貝到服務(wù)器用戶家目錄，然后sudo提權(quán)拷貝分發(fā)的文件到對(duì)應(yīng)權(quán)限目錄。

???????? 優(yōu)點(diǎn)：安全。無(wú)需停止root遠(yuǎn)程連接這個(gè)功能。

???????? 缺點(diǎn)：配置麻煩

3.跟方案2一樣，只是不用sudo，而是設(shè)置suid對(duì)固定命令授權(quán)

優(yōu)點(diǎn)：相對(duì)安全

缺點(diǎn)：復(fù)雜，安全性較差。任何人都可以處理帶有suid權(quán)限的命令。

?

追求簡(jiǎn)單，選1

追求安全，選2

相同功能相對(duì)高級(jí)的：puppet，saltstack。

?

2方案實(shí)際操作：

#!/bin/sh

. /etc/init.d/functions

?

if [ $# -ne 2 ]

? then

?? echo "USAGE:$0 LOCALFILE REMOTEFILE"

?? exit 1

fi

for n in 21 25 32

do

? scp -P22 -r $1 oldgirl@192.168.24.$n:~ &>/dev/null &&

? ssh -t oldgirl@192.168.24.$n sudo rsync $1 $2 &>/dev/null

? if [ $? -eq 0 ]

?? then

??? action "fenfa $1 ok" /bin/true

?? else

??? action "fenfa $1 ok" /bin/false

fi

done

?