Cách tốt nhất để thay đổi mật khẩu root trên 3000+ máy chủ Solaris, AIX và Linux?

Câu chuyện dài: Tập đoàn lớn cũ, rất nhiều máy chủ UNIX / Linux.

Tôi được thừa hưởng trách nhiệm cho một loạt các kịch bản đã để lại một vài năm trước đây. Một trong số đó là một tập lệnh sẽ được chạy mỗi tháng $ X để cập nhật toàn cầu mật khẩu gốc trên tất cả các máy chủ của chúng tôi.

Kịch bản là một mớ hỗn độn của Shell Script và Expect, và nó hoạt động dựa trên sự tin tưởng SSH được thiết lập giữa tất cả các máy chủ của chúng tôi và một máy chủ chỉ huy và kiểm soát trung tâm.

Vấn đề là, kịch bản là một mớ hỗn độn khổng lồ. Các lệnh Expect đang cố gắng tính toán cho mọi phiên bản "passwd" có thể tồn tại trên bất kỳ hộp UNIX / Linux nào ngoài đó - và chúng thay đổi khá nhiều.

Khi chúng tôi đang mở rộng và nâng cấp rất nhiều cơ sở hạ tầng, kịch bản đang trở nên khó kiểm soát.

Câu hỏi của tôi là: Có cách nào tốt hơn để làm điều này? Giả sử đã có một ủy thác SSH đã được thiết lập, cách tốt nhất để thay đổi mật khẩu gốc trên hơn 3000 máy chủ cùng một lúc là gì?

Sử dụng con rối .

Con rối rất linh hoạt, dễ bảo trì và sử dụng SSL. Có thể âm thanh hơi quá mức và bạn sẽ phải nỗ lực thêm để xây dựng hệ thống rối.

Nhưng. Rất có thể đây không phải là bản cập nhật hàng loạt cuối cùng mà bạn sẽ thực hiện với các máy này. Con rối sẽ và giúp bạn tiết kiệm rất nhiều thời gian khi thực tế bất cứ quy trình cập nhật hàng loạt nào bắt đầu và các tập lệnh rất dễ đọc / có thể sử dụng lại.

Ít nhất điều này đã làm việc cho tôi vài năm trước và tôi vẫn có thể sử dụng lại một số công thức Puppet (hay còn gọi là script). Tôi cũng đã sử dụng nó trong một môi trường nhỏ hơn một chút chỉ để đảm bảo rằng mọi máy đều thực sự có trạng thái đã biết .

Tôi đã chứng minh điều đó nhiều lần (tại nhiều công ty) rằng tất cả các tập lệnh triển khai tùy chỉnh trở nên đau đớn sau một lúc hoặc khi anh chàng tiếp theo bước vào. Và miễn là bạn mang theo điện thoại di động, các tập lệnh cũ sẽ và ám ảnh bạn.

Nếu bạn nghĩ rằng điều này thực sự nghe có vẻ tốt, thì đây là một hướng dẫn rối tuyệt vời với môi trường ảo đi kèm để giúp bạn bắt đầu.

Tôi đã sử dụng mô-đun Perl Authen :: PAM trên Solaris rất thành công. Đây là một kịch bản mẫu:

#!/usr/bin/perl

use Authen::PAM;

my $username = 'root';
my $password = '1234567';

die qq{Error: Unknown user\n} unless getpwnam($username);

die qq{Error: You must run this as root.\n} unless ($> == 0);

my $pamh;

sub my_conv_func
{
    my @res;
    while ( @_ )
    {
        my $code = shift;
        my $msg = shift;
        my $ans = "";

        if ($code == PAM_PROMPT_ECHO_OFF() )
        {
            if (($msg =~ /^New Password:/i) or ($msg =~ /^Re-enter new Password:/i))
            {
                $ans = $password;
            }
            else
            {
                die qq{Unknown message: $msg\n};
            }
        }
        else
        {
            print qq{$msg\n};
        }

        push @res, (PAM_SUCCESS(), $ans);
    }
    push @res, PAM_SUCCESS();

    return @res;
}

ref($pamh = new Authen::PAM("passwd", $username, \&my_conv_func)) || die "Error code $pamh during PAM init!";

my $res = $pamh->pam_chauthtok;

print $pamh->pam_strerror($res),"\n" unless $res == PAM_SUCCESS();

exit 0;

Nếu bạn có thể viết Perl, mô-đun Net :: OpenSSH :: Parallel cho phép viết các tập lệnh thực hiện các hành động song song trên các máy chủ từ xa thông qua SSH khá dễ dàng.

Nó chứa một tập lệnh mẫu để thay đổi mật khẩu mà bạn có thể sử dụng làm cơ sở. Vì dường như bạn có một môi trường không đồng nhất, bạn muốn nhóm các máy chủ theo loại và sử dụng một phụ xử lý hội thoại khác nhau cho mỗi người.

Tôi không biết về "tốt nhất" và liệu có thể cho tất cả các máy không phải là Linux * nix trong hỗn hợp của bạn không, nhưng bạn đã xem rối hoặc cengine cho loại hoạt động này chưa?

Ngoài ra còn có các công cụ thương mại (rất đắt tiền) để quản lý danh tính ngoài kia, hai công cụ tôi đã thấy / sử dụng trong quá khứ là Trình quản lý danh tính Oracle và tương đương Tiểu thuyết.

Sau khi tiếp tục nghiên cứu điều này, tôi đã học được một vài điều ...

Đầu tiên và quan trọng nhất, đây là một nhiệm vụ thực sự khó chịu để tự động hóa, đặc biệt là trên nhiều môi trường khác nhau. Câu trả lời đúng nhất cho câu hỏi này có lẽ là @ tomi's: sử dụng Puppet.

Cuối cùng, tôi hy vọng có được Puppet để quản lý cơ sở hạ tầng, nhưng việc triển khai đến toàn bộ máy chủ UNIX của doanh nghiệp để thay đổi mật khẩu gốc ngay bây giờ không khả thi đối với một tùy chọn.

Sau khi đọc nhiều trang và nhiều Google-fu, tôi đã tìm được một tập lệnh lặp qua danh sách các máy chủ mục tiêu, mở kết nối SSH và chạy một trong các cách sau:

# Solaris
# Generate new pass via crypt(newpass,salt) and insert it into /etc/shadow

# AIX
$ echo "root:newpass" | chpasswd -f NOCHECK

# Linux
$ echo "newpass" | passwd root --stdin

# IBM VIO (Virtual I/O)
$ echo "echo \"padmin:newpass\" | chpasswd -f NOCHECK" | oem_setup_env

# IBM HMCs (Hardware Management Consoles)
$ chhmcusr -u hscroot -t passwd -v "newpass"

Nó thực hiện nhiều hơn một chút so với việc chỉ chạy các lệnh đó, nhưng những lệnh trên là những gì có tác dụng kỳ diệu.

Tôi không thể tìm thấy bất kỳ cách đơn giản nào để thay đổi mật khẩu không lặp lại trên Solaris - vì vậy chúng tôi đã dùng đến việc sửa đổi /etc/shadownhanh chóng.

Gần đây tôi đã thực hiện điều này bằng cách sử dụng Bash Script ..

#!/usr/bin/env bash

# Change Password of Remote Server Using SSH

#--------------------------------------------
# Define User which you want to
# Change Password in remote server
#--------------------------------------------
Uname="root"
# Create Password in Encrpyted Form Using below command,
# and store in this script
# perl -e'print crypt("YourPassword", "salt")' ; echo -e
# then copy and past in following varible,
# password should be single qouted*

Password='safv8d8ESMmWk'

Update_Pass() {
  ssh $ruser@$Server_ip  -p $port "echo ${Uname}:${Password} | chpasswd -e"
}

Show_Help(){
cat <<_EOF
Usage $0        [OPTION]..
Mandatory arguments to long options are mandatory for short options too.
  -i, --ip     <IP_ADDR_OF_SREVER> IP Address Of Remote Server
  -u, --user   <Username>          Username Of Remote Server    <Default User is root>
  -p, --port   <port>              Port Of Remote Server        <Default is 22>

Note:- For Security Reason Do Not Provide Password to the script, because
       it will get save in history, so do not provide it,
       script will prompt for password

Report $0 bugs to loginrahul90@gmail.com
_EOF
}



Main() {

        case $1 in
           -i|--ip) Server_ip=$2;
                    ruser="$4"; [[ -z $ruser ]] && ruser=root
                    port="$6";  [[ -z $port  ]]  && port=22
                    Update_Pass ;;
                *)  Show_Help ;;
        esac
}

Main $*

Đây là giải pháp của tôi cho đến nay. vẫn cần phải xem nếu nó hoạt động trên nhiều hệ thống

#!/usr/bin/env bash

ChangePassword()
{
    echo "changing password for server $ServerIp"
    ssh root@$ServerIp "echo root:${NewPassword} | chpasswd" < /dev/null
}

CreatePassword()
{
    while true;
    do
        echo "Please enter the new password :"
        read -s NewPassword <&0
        echo "Confirm the password :"
        read -s ConfirmPassword <&0 
        # /proc/${PPID}/fd/0

        if [ "$NewPassword" == "$ConfirmPassword" ]
        then
            break
        else
            echo "Passwords do not match"
            echo "Try again..."
        fi
    done
    ChangePassword
    echo "end of createpassword"
}

SetUpPasswordlessSSH()
{   
    echo "enter the old password from server $ServerIp when asked"
    ssh root@$ServerIp mkdir -p .ssh
    cat .ssh/id_rsa.pub | ssh root@$ServerIp 'cat >> .ssh/authorized_keys'

    echo "Passwordless SSH is now available"
    echo "Now you can change the password"
    CreatePassword
}

NoSSH()
{
    echo "Passwordless SSH for this server with ip $ServerIp is not yet set up."
    read -p "Do you want to set it up now? " -n 1 -r <&0
    echo "" 
    if [[ ! $REPLY =~ ^[Yy]$ ]]
    then
        break
    else
        SetUpPasswordlessSSH
    fi
}

AcceptHostKey()
{
    read -p "Do you trust the server? " -n 1 -r <&1 
    echo ""
    if [[ ! $REPLY =~ ^[Yy]$ ]]
    then
        break
    else
        SetUpPasswordlessSSH
    fi
}

Main()
{
    while read -r ServerIp <&9
    do
        echo  "Server $ServerIp ..."
        status=$(ssh -o BatchMode=yes -o ConnectTimeout=5 $ServerIp echo ok 2>&1)
        if [[ $status == ok ]]
        then
            echo "creating password"
            CreatePassword
            echo "password changed"
        elif [[ $status == "Permission denied"* ]]
        then
            NoSSH
        elif [[ $status == "Host key verification failed"* ]]
        then
            echo "Error: $status"
            AcceptHostKey
        else
            echo "ERROR OCCURED FOR SERVER WITH IP: $ServerIp"
            echo "Error: $status"
        fi
    done 9< servers.txt
    history -cw
    clear
}

Main $*

Bạn có thể sử dụng pdsh để thực thi lệnh của mình trên nhiều máy chủ cùng một lúc.

Ngoài con rối: SaltStack Một cách tiếp cận khác - tự động hóa thực thi bằng cách sử dụng SSH lib theo tuần tự hoặc song song bằng cách sử dụng Fabric http://docs.fabfile.org/en/1.6/ , Capistrano hoặc tương tự không cần nhiều thời gian / nỗ lực để triển khai.

Hai lựa chọn:

Sử dụng con rối

Sử dụng sàn chạy. Run Deck là một máy chủ cho phép bạn thực hiện các lệnh trên hàng trăm máy cùng một lúc. Bạn có thể nhóm các máy thành các nhóm, để thực hiện các lệnh trên chỉ một tập hợp con của các máy.

http://rundeck.org

Tôi nghĩ rằng định dạng của /etc/shadowtập tin là khá chuẩn trên các bản phân phối linux. Bạn có thể chỉ cần viết một kịch bản awk đơn giản để cập nhật mật khẩu.

cat /etc/shadow| awk -v pass='NEWPASSHASH' -v now=`date '+%s'` 'BEGIN{ OFS=FS=":"} /^root/ {$2=pass; $3=now} {print}' > /tmp/shadow && mv /tmp/shadow /etc/shadow

Tôi chắc chắn sẽ kiểm tra nó để bạn không tự khóa mình;)