KingbaseES 集群运维系列 -- 验证系统用户修改密码或密码过期对ssh互信的影响
案例说明:
Kingbase V8主备流复制集群在通用机环境部署和运维,需要建立主机间的ssh互信,如果ssh互信被破坏,将导致集群故障。但有的生产环境为了系统安全需要,会配置密码管理策略,定期的修改密码,当系统用户密码被修改或过期对ssh互信产生什么影响,本案例复现了以上问题,以下案例在(CentOS、Kylin系统下测试)。
ssh互信失败导致failover切换失败:
适用版本:
KingbaseES V8R3/R6
主机环境:
一、系统用户密码修改测试
1、用户未修改密码前的测试(node101)
[root@node101 soft]# ssh node102
Last login: Sat Nov 12 14:10:32 2022 from 192.168.1.101
[root@node101 ~]# su - kingbase
Last login: Sat Nov 12 15:11:49 CST 2022 from 192.168.1.1 on pts/1
[kingbase@node101 ~]$ ssh root@node102
Last login: Sat Nov 12 15:34:16 2022 from 192.168.1.101
---如上所示,node101和node102已经建立ssh互信。
2、修改用户密码(node102)
3、测试ssh互信
[root@node101 soft]# ssh root@node102
Last login: Sat Nov 12 15:39:07 2022 from 192.168.1.102
[root@node101 soft]# su - kingbase
Last login: Wed Nov 9 15:11:16 CST 2022 from 192.168.1.1 on pts/2
[kingbase@node101 ~]$ ssh root@node102
Last login: Sat Nov 12 15:40:05 2022 from 192.168.1.101
---如上所示,对于系统用户修改密码,不影响ssh互信。
二、系统用户密码过期测试
1、模拟用户密码过期
1)查看密码策略
[root@node102 ~]# chage -l root
Last password change : Nov 09, 2022
Password expires : Mar 26, 2050
Password inactive : never
Account expires : never
Minimum number of days between password change : 0
Maximum number of days between password change : 9999
Number of days of warning before password expires : 7
---如上所示,密码有效期最大为9999,过期前7天会发出警告。
2)修改密码最大有效期
[root@node102 ~]# chage -M 1 root
[root@node102 ~]# chage -l root
Last password change : Nov 09, 2022
Password expires : Nov 10, 2022
Password inactive : never
Account expires : never
Minimum number of days between password change : 0
Maximum number of days between password change : 1
Number of days of warning before password expires : 7
---如上所示,密码有效期最大为1天。
3)修改系统时间
[root@node102 ~]# date
Wed Nov 9 15:47:41 CST 2022
[root@node102 ~]# date 111515482022
Tue Nov 15 15:48:00 CST 2022
---修改系统时间,强制用户密码过期。
2、测试ssh连接
如上图所示:在系统用户密码过期后,ssh连接需要配置用户新的密码,ssh互信失败。
3、密码过期后修改用户密码
---如下所示:系统用户密码过期,修改密码后,ssh互信恢复正常。
[root@node102 ~]# echo 'beijing'|passwd --stdin root
Changing password for user root.
passwd: all authentication tokens updated successfully.
[kingbase@node101 ~]$ ssh root@node102
Warning: your password will expire in 1 day
Last login: Tue Nov 15 15:48:09 2022 from 192.168.1.101
ABRT has detected 1 problem(s). For more info run: abrt-cli list --since 1668239136
三、总结
对于通用机环境下:
1、系统用户修改密码,不影响ssh互信。
2、系统用户密码过期后,将破坏ssh互信;过期后再修改密码,ssh互信恢复正常。
3、如果系统配置了密码过期策略,必须在密码过期前,修改系统用户的密码。
4、对于KingbaseES V8R3集群可以升级到V008R003C002B0370,通过es_server建立节点的通讯,不受系统用户密码过期的影响。
5、对于KingbaseES V8R6可以使用securecmdd工具通讯,不受系统用户密码过期的影响。
KingbaseES 集群运维系列 -- 验证系统用户修改密码或密码过期对ssh互信的影响的更多相关文章
- 阿里巴巴大规模神龙裸金属 Kubernetes 集群运维实践
作者 | 姚捷(喽哥)阿里云容器平台集群管理高级技术专家 本文节选自<不一样的 双11 技术:阿里巴巴经济体云原生实践>一书,点击即可完成下载. 导读:值得阿里巴巴技术人骄傲的是 2019 ...
- SQL Server自动化运维系列——关于邮件通知那点事(.Net开发人员的福利)
需求描述 在我们的生产环境中,大部分情况下需要有自己的运维体制,包括自己健康状态的检测等.如果发生异常,需要提前预警的,通知形式一般为发邮件告知. 邮件作为一种非常便利的预警实现方式,在及时性和易用性 ...
- 为CDH 5.7集群添加Kerberos身份验证及Sentry权限控制
转载请注明出处:http://www.cnblogs.com/xiaodf/ 4. 为CDH 5集群添加Kerberos身份验证 4.1 安装sentry1.点击“操作”,“添加服务”:2.选择sen ...
- 使用Chef管理windows集群 | 运维自动化工具
但凡服务器上了一定规模(百台以上),普通的ssh登录管理的模式就越来越举步维艰.试想Linux发布了一个高危漏洞的补丁,你要把手下成百上千台机器都更新该补丁,如果没有一种自动化方式,那么至少要耗上大半 ...
- saltstack自动化运维系列⑤之saltstack的配置管理详解
saltstack自动化运维系列⑤之saltstack的配置管理详解 配置管理初始化: a.服务端配置vim /etc/salt/master file_roots: base: - /srv/sal ...
- saltstack自动化运维系列②之saltstack的数据系统
saltstack自动化运维系列②之saltstack的数据系统 grains:搜集minion启动时的系统信息,只有在minion启动时才会搜集,grains更适合做一些静态的属性值的采集,例如设备 ...
- KingbaseES集群故障分析案例
某商业银行生产系统KingbaseES读写分离集群主库出现故障,导致集群主备发生切换.客户要求说明具体的原因. KingbaseES读写分离集群基本信息: KingbaseES集群信息 操作系统 Li ...
- SQL Server自动化运维系列——监控跑批Job运行状态(Power Shell)
需求描述 在我们的生产环境中,大部分情况下需要有自己的运维体制,包括自己健康状态的检测等.如果发生异常,需要提前预警的,通知形式一般为发邮件告知. 在上一篇文章中已经分析了SQL SERVER中关于邮 ...
- rabbitmq集群运维一点总结
说明:以下操作都以三节点集群为例,机器名标记为机器A.机器B.机器C,如果为双节点忽略机器C,如果为各多节点则与机器C操作相同 一.rabbitmq集群必要条件 1.1.绑定实体ip,即ip a所能查 ...
- saltstack自动化运维系列④之saltstack的命令返回结果mysql数据库写入
saltstack自动化运维系列④之saltstack的命令返回结果mysql数据库写入salt的返回值写入mysql数据库:可参考:https://docs.saltstack.com/en/lat ...
随机推荐
- Springboot+JdbcTemplate模拟SQL注入攻击案例及解决方法
说明 SQL注入是软件开发项目测试过程中必测项,重要等级极高.本文以springboot项目为例,模拟含有SQL注入攻击,并提供解决方法.部分内容整理自网络. 搭建项目 1.创建表tbuser DRO ...
- 前端树形Tree数据结构使用-🤸🏻♂️各种姿势总结
01.树形结构数据 前端开发中会经常用到树形结构数据,如多级菜单.商品的多级分类等.数据库的设计和存储都是扁平结构,就会用到各种Tree树结构的转换操作,本文就尝试全面总结一下. 如下示例数据,关键字 ...
- queryset高级用法:prefetch_related
这个方法和select_related方法类型,就是访问多个表中的数据的时候,减少查询的次数.这个方法是为了解决一对多和多对多的关系的查询问题.比如要获取标题中带有hello字符串的文章以及它的所有标 ...
- day05---系统的重要文件(2)
回顾 /etc/sysconfig/network-scripts/ifcfg-eth0 网卡配置文件 TYPE=Ethernet BOOTPROTO=none NAME=eth0 DEVICE=et ...
- day04---系统重要文件
系统重要的文件 /etc的重要文件 1./etc/sysconfig/network-scripts/ifcfg-eth0 [root@localhost ~]# cat /etc/sysconfig ...
- 【Filament】Filament环境搭建
1 前言 Filament 是一个实时物理渲染引擎,用于 Android.iOS.Linux.macOS.Windows 和 WebGL 平台.该引擎旨在提供高效.实时的图形渲染,并被设计为在 A ...
- vue 前端自动打开文件地址进行下载
最近在做异步导出的功能,导出的过程中前端另外启动一个查询导出进度的线程接口.如果导出完成后,把生成的文件上传到服务器,返回给前端一个文件的下载地址:前端自动打开这个地址进行跳转下载. 有两种方式 1. ...
- 【LeetCode二叉树#02】二叉树层序遍历(广度优先搜索),十合一专题
二叉树层序遍历(广度优先搜索) 102 二叉树的层序遍历 力扣题目链接(opens new window) 给你一个二叉树,请你返回其按 层序遍历 得到的节点值. (即逐层地,从左到右访问所有节点). ...
- 【Azure Key Vault】.NET 代码如何访问中国区的Key Vault中的机密信息(Get/Set Secret)
问题描述 使用 .NET Azure.Identity 中的 DefaultAzureCredential 认证并连接到Azure Key Vault中, 在Key Vault 的示例中,并没有介绍如 ...
- 【Azure 云服务】当Windows系统发布新的安全漏洞后,如何查看Azure云服务(Cloud Service)的实例是否也更新了安全补丁呢?
问题描述 当Windows发布新的安全漏洞后,会根据安全漏洞的级别分类来确定是紧急打补丁升级,还是每一月的补丁日( 每月第二周的星期二)来统一推送补丁. 比如最近的一个安全漏洞(9月13号发布) C ...