Najlepszy sposób na zmianę hasła roota na ponad 3000 serwerach Solaris, AIX i Linux?

Krótko mówiąc: Wielka stara korporacja, wiele serwerów UNIX / Linux.

Odziedziczyłem odpowiedzialność za kilka skryptów, które opuściły kilka lat temu. Jednym z nich był skrypt, który będzie uruchamiany co miesiąc X dolarów w celu globalnej aktualizacji hasła roota na wszystkich naszych serwerach.

Skrypt jest bałaganem Shell Script and Expect i działa na zaufaniu SSH, które jest ustawione między wszystkimi naszymi serwerami a centralnym serwerem dowodzenia i kontroli.

Problem polega na tym, że scenariusz to ogromny bałagan. Polecenia Expect próbują uwzględnić każdą możliwą wersję „passwd”, która istnieje na dowolnym urządzeniu z systemem UNIX / Linux - i różnią się one nieco.

Ponieważ rozbudowujemy i aktualizujemy dużą część naszej infrastruktury, skrypt staje się naprawdę niemożliwy do zarządzania.

Moje pytanie brzmi: czy jest na to lepszy sposób? Zakładając, że istnieje już zaufanie SSH, jaki jest najlepszy sposób na zmianę hasła roota na ponad 3000 serwerów jednocześnie?

Użyj marionetki .

Puppet jest bardzo elastyczny, łatwy w utrzymaniu i korzysta z SSL. Może zabrzmi to nieco przesadnie i będziesz musiał włożyć dodatkowy wysiłek w budowę systemu Lalek.

Ale. Najprawdopodobniej nie jest to ostatnia masowa aktualizacja, którą zrobisz na tych komputerach. Puppet zaoszczędzi ci dużo czasu, gdy rozpocznie się faktyczna procedura masowej aktualizacji, a skrypty będą bardzo czytelne / wielokrotnego użytku.

Przynajmniej działało to dla mnie kilka lat temu i nadal jestem w stanie ponownie wykorzystać niektóre z tych przepisów na kukiełki (inaczej skrypty). Użyłem go również w nieco mniejszych środowiskach, po prostu upewnij się, że każda maszyna faktycznie ma znany stan .

Wielokrotnie (w wielu firmach) udowodniłem, że wszystkie niestandardowe skrypty wdrożeniowe stają się kłopotliwe po pewnym czasie lub gdy wkracza następny facet. I dopóki nosisz telefon komórkowy, stare skrypty będą cię prześladować.

Jeśli uważasz, że to naprawdę brzmi dobrze, oto świetny samouczek Puppet z dołączonym wirtualnym środowiskiem, aby zacząć.

Z dużym powodzeniem korzystałem z modułu Perl Authen :: PAM w systemie Solaris. Oto przykładowy skrypt:

#!/usr/bin/perl

use Authen::PAM;

my $username = 'root';
my $password = '1234567';

die qq{Error: Unknown user\n} unless getpwnam($username);

die qq{Error: You must run this as root.\n} unless ($> == 0);

my $pamh;

sub my_conv_func
{
    my @res;
    while ( @_ )
    {
        my $code = shift;
        my $msg = shift;
        my $ans = "";

        if ($code == PAM_PROMPT_ECHO_OFF() )
        {
            if (($msg =~ /^New Password:/i) or ($msg =~ /^Re-enter new Password:/i))
            {
                $ans = $password;
            }
            else
            {
                die qq{Unknown message: $msg\n};
            }
        }
        else
        {
            print qq{$msg\n};
        }

        push @res, (PAM_SUCCESS(), $ans);
    }
    push @res, PAM_SUCCESS();

    return @res;
}

ref($pamh = new Authen::PAM("passwd", $username, \&my_conv_func)) || die "Error code $pamh during PAM init!";

my $res = $pamh->pam_chauthtok;

print $pamh->pam_strerror($res),"\n" unless $res == PAM_SUCCESS();

exit 0;

Jeśli potrafisz pisać w Perlu, moduł Net :: OpenSSH :: Parallel pozwala dość łatwo pisać skrypty, które wykonują akcje równolegle na zdalnych hostach za pośrednictwem SSH.

Zawiera przykładowy skrypt do zmiany haseł, których można użyć jako podstawy. Wygląda na to, że masz heterogeniczne środowisko, w którym chciałbyś pogrupować hosty według typu i użyć dla każdego z nich innej podrzędnej obsługi dialogu.

Nie wiem o „najlepszym” i czy jest to możliwe dla wszystkich maszyn innych niż Linux * nix w twoim miksie, ale czy widziałeś marionetkę lub cfengine dla tego rodzaju aktywności?

Istnieją również komercyjne (bardzo drogie) narzędzia do zarządzania tożsamością, dwa, które widziałem / używałem w przeszłości, to Oracle Identity Manager i Novel odpowiednik.

Po dalszym badaniu tego nauczyłem się kilku rzeczy ...

Przede wszystkim jest to bardzo denerwujące zadanie automatyzacji, szczególnie w wielu różnych środowiskach. Najbardziej poprawną odpowiedzią na to pytanie jest prawdopodobnie @ tomi: użyj Puppet.

Ostatecznie mam nadzieję, że Puppet będzie zarządzał infrastrukturą, ale wdrożenie na serwerach UNIX całego przedsiębiorstwa w celu zmiany hasła roota nie jest obecnie wykonalne.

Po przeczytaniu wielu stron i wielu stron Google-fu udało mi się wymyślić skrypt, który zapętla listę serwerów docelowych, otwiera połączenie SSH i uruchamia jedną z następujących czynności:

# Solaris
# Generate new pass via crypt(newpass,salt) and insert it into /etc/shadow

# AIX
$ echo "root:newpass" | chpasswd -f NOCHECK

# Linux
$ echo "newpass" | passwd root --stdin

# IBM VIO (Virtual I/O)
$ echo "echo \"padmin:newpass\" | chpasswd -f NOCHECK" | oem_setup_env

# IBM HMCs (Hardware Management Consoles)
$ chhmcusr -u hscroot -t passwd -v "newpass"

Robi to znacznie więcej niż uruchamianie tylko tych poleceń, ale te powyżej służą do magii.

Nie mogłem znaleźć żadnego prostego sposobu, aby nie iteracyjnie zmienić hasło w Solarisie, więc uciekliśmy się do modyfikacji /etc/shadoww locie.

Ostatnio zrobiłem to używając skryptu Bash ..

#!/usr/bin/env bash

# Change Password of Remote Server Using SSH

#--------------------------------------------
# Define User which you want to
# Change Password in remote server
#--------------------------------------------
Uname="root"
# Create Password in Encrpyted Form Using below command,
# and store in this script
# perl -e'print crypt("YourPassword", "salt")' ; echo -e
# then copy and past in following varible,
# password should be single qouted*

Password='safv8d8ESMmWk'

Update_Pass() {
  ssh $ruser@$Server_ip  -p $port "echo ${Uname}:${Password} | chpasswd -e"
}

Show_Help(){
cat <<_EOF
Usage $0        [OPTION]..
Mandatory arguments to long options are mandatory for short options too.
  -i, --ip     <IP_ADDR_OF_SREVER> IP Address Of Remote Server
  -u, --user   <Username>          Username Of Remote Server    <Default User is root>
  -p, --port   <port>              Port Of Remote Server        <Default is 22>

Note:- For Security Reason Do Not Provide Password to the script, because
       it will get save in history, so do not provide it,
       script will prompt for password

Report $0 bugs to [email protected]
_EOF
}



Main() {

        case $1 in
           -i|--ip) Server_ip=$2;
                    ruser="$4"; [[ -z $ruser ]] && ruser=root
                    port="$6";  [[ -z $port  ]]  && port=22
                    Update_Pass ;;
                *)  Show_Help ;;
        esac
}

Main $*

To moje dotychczasowe rozwiązanie. wciąż muszę sprawdzić, czy działa na wielu systemach

#!/usr/bin/env bash

ChangePassword()
{
    echo "changing password for server $ServerIp"
    ssh root@$ServerIp "echo root:${NewPassword} | chpasswd" < /dev/null
}

CreatePassword()
{
    while true;
    do
        echo "Please enter the new password :"
        read -s NewPassword <&0
        echo "Confirm the password :"
        read -s ConfirmPassword <&0 
        # /proc/${PPID}/fd/0

        if [ "$NewPassword" == "$ConfirmPassword" ]
        then
            break
        else
            echo "Passwords do not match"
            echo "Try again..."
        fi
    done
    ChangePassword
    echo "end of createpassword"
}

SetUpPasswordlessSSH()
{   
    echo "enter the old password from server $ServerIp when asked"
    ssh root@$ServerIp mkdir -p .ssh
    cat .ssh/id_rsa.pub | ssh root@$ServerIp 'cat >> .ssh/authorized_keys'

    echo "Passwordless SSH is now available"
    echo "Now you can change the password"
    CreatePassword
}

NoSSH()
{
    echo "Passwordless SSH for this server with ip $ServerIp is not yet set up."
    read -p "Do you want to set it up now? " -n 1 -r <&0
    echo "" 
    if [[ ! $REPLY =~ ^[Yy]$ ]]
    then
        break
    else
        SetUpPasswordlessSSH
    fi
}

AcceptHostKey()
{
    read -p "Do you trust the server? " -n 1 -r <&1 
    echo ""
    if [[ ! $REPLY =~ ^[Yy]$ ]]
    then
        break
    else
        SetUpPasswordlessSSH
    fi
}

Main()
{
    while read -r ServerIp <&9
    do
        echo  "Server $ServerIp ..."
        status=$(ssh -o BatchMode=yes -o ConnectTimeout=5 $ServerIp echo ok 2>&1)
        if [[ $status == ok ]]
        then
            echo "creating password"
            CreatePassword
            echo "password changed"
        elif [[ $status == "Permission denied"* ]]
        then
            NoSSH
        elif [[ $status == "Host key verification failed"* ]]
        then
            echo "Error: $status"
            AcceptHostKey
        else
            echo "ERROR OCCURED FOR SERVER WITH IP: $ServerIp"
            echo "Error: $status"
        fi
    done 9< servers.txt
    history -cw
    clear
}

Main $*

Możesz użyć pdsh, aby wykonać polecenie na wielu hostach jednocześnie.

Oprócz marionetek: SaltStack Inne podejście - zautomatyzuj wykonywanie za pomocą bibliotek SSH, sekwencyjnie lub równolegle, za pomocą Fabric http://docs.fabfile.org/en/1.6/ , Capistrano lub podobnego, które nie wymagają dużo czasu / wysiłku do wdrożenia.

Dwie opcje:

Użyj marionetki

Użyj pokładu run. Run deck to serwer, który pozwala na wykonywanie poleceń na setkach komputerów jednocześnie. Możesz grupować maszyny w grupy, aby wykonywać polecenia tylko na podzbiorze maszyn.

http://rundeck.org

Myślę, że format /etc/shadowpliku jest dość standardowy we wszystkich dystrybucjach Linuksa. Czy możesz po prostu napisać prosty skrypt awk, aby zaktualizować hasło?

cat /etc/shadow| awk -v pass='NEWPASSHASH' -v now=`date '+%s'` 'BEGIN{ OFS=FS=":"} /^root/ {$2=pass; $3=now} {print}' > /tmp/shadow && mv /tmp/shadow /etc/shadow

Zrobiłbym to, żeby to przetestować, żebyś nie zablokował się;)