专栏首页首富手记saltstack的key认证过程

saltstack的key认证过程

软件部署

在192.168.56.11和192.168.56.12上都更新salt的仓库。

yum install https://repo.saltstack.com/yum/redhat/salt-repo-latest-1.el7.noarch.rpm

将192.168.56.11作为master,将192.168.56.12作为minion

192.168.56.11
yum -y install salt-master salt-minion
192.168.56.12
yum -y install salt-minion

启动Salt的master

systemctl start salt-master

修改配置文件(minion要知道master是谁啊):

192.168.56.11(master+minion)
[root@cobbler-node1 ~]# vim /etc/salt/minion
16行 master: 192.168.56.11(最佳实践是写主机名,前提是内网有DNS解析)
103行 #id:
这个id我们可以不改,这个是saltstack中的一个设备的标识符,不改它的话默认
会以hostname的值为id,主机名的全称。FQDN名称
修改完上述的master以后,然后在192.168.56.12(minion)上同样修改minion配置文件。操作和master的一样,修改完成以后在两台设备上启动minion
systemctl start salt-minion
启动minion后我们会在/etc/salt下发现多了个minion_id
[root@cobbler-node1 ~]# cat /etc/salt/minion_id
cobbler-node1
#通过cat查看发现这里面内容就是我们的hostname

这个文件一般情况下不要去修改,因为minion启动的时候会默认先读取这个文件,如果这个文件有的话它就直接读入了,你改的不会生效的,如果你真的要改的话记住先把这个id文件删掉

minion_id的设置可以使用hostname或者使用ip地址。设置主机名的时候不要有下划线,因为主机名要解析,DNS解析的话主机名是不能有下划线的。

minion端配置完毕以后要重启

systemctl restart salt-minion

Master和Minion的认证

master和minion要通过认证之后才能被正确的识别,就好像你要找一个主人给人家干活,你也得经过人家的同意啊。(认证采用RSA key方式确认身份,传输采用AES加密算法)

minion目录在第一次启动的时候会在/etc/salt下新建一个pki目录

[root@zabbix-agent salt]# tree pki
pki
└── minion
    ├── minion.pem
    └── minion.pub
其中:
minion.pem 私钥
minion.pub 公钥

要进行认证,minion会把自己的公钥发给master,然后我们现在启动master服务

systemctl start salt-master

查看一下master的目录发现也多了一个pki的目录,其中存放着minion传过来的公钥。

[root@zabbix-server salt]# pwd
/etc/salt
[root@zabbix-server salt]# tree ./pki
./pki
├── master
│   ├── master.pem       ##master的私钥
│   ├── master.pub       ##master的公钥
│   ├── minions
│   ├── minions_autosign
│   ├── minions_denied
│   ├── minions_pre          ##minion发过来的公钥放在pre目录下,目前还没有被master管理
│   │   ├── zabbix-agent    ##文件名是使用ID来做为名称的,所以生成的id是不能改的。
│   │   └── zabbix-server
│   └── minions_rejected
└── minion
    ├── minion.pem
    └── minion.pub

这个时候只是minion知道我master了,然后把公钥发过来了,但是master还没进行认证。master认证的话需要执行如下的命令:

[root@zabbix-server salt]# salt-key
Accepted Keys:
Denied Keys:
Unaccepted Keys:
zabbix-agent
zabbix-server
Rejected Keys:

当前没有接受的key,未接受的有两个,拒绝的没有

[root@zabbix-server salt]# salt-key -a zabbix-agent
The following keys are going to be accepted:
Unaccepted Keys:
zabbix-agent
Proceed? [n/Y] y
Key for minion zabbix-agent accepted.
我们可以使用-a参数加上minion_id的形式添加key。
[root@zabbix-server salt]# salt-key -a zabbix-*
The following keys are going to be accepted:
Unaccepted Keys:
zabbix-server
Proceed? [n/Y] y
Key for minion zabbix-server accepted.
同样我们还可以使用通配符的形式
[root@zabbix-server salt]# salt-key
Accepted Keys:
zabbix-agent
zabbix-server
Denied Keys:
Unaccepted Keys:
Rejected Keys:
然后我们再查看key的接受情况。
接下来查看一下salt-key的帮助参数:
-l                     显示指定状态的key,支持正则表达式
-L,--list-all          显示所有公钥
-a,ACCEPT              接受指定等待认证的key,支持正则
-A,--accept-all        接受所有等待认证的key
-r REJECT              拒绝等待认证的key,支持正则
-R REJECT-all          拒绝所有等待认证的key
--include-all          显示所有状态的key,包括non-pending状态
-p PRINT               打印指定的公钥,-P打印所有的公钥
-d DELETE              删除指定的key
-D --delete-all        删除所有的key
-f FINGER              显示指定key的指纹信息
-F --finger-all        显示所有key的指定信息
当我们接受完公钥以后我们来再来查看一下:
[root@zabbix-server ~]# tree /etc/salt/pki/
/etc/salt/pki/
├── master
│   ├── master.pem
│   ├── master.pub
│   ├── minions
│   │   ├── zabbix-agent
│   │   └── zabbix-server
│   ├── minions_autosign
│   ├── minions_denied
│   ├── minions_pre
│   └── minions_rejected
└── minion
    ├── minion_master.pub
    ├── minion.pem
    └── minion.pub
7 directories, 7 files
可以发现被认证的key从pre移动到了minions文件夹中。同时minion端:
[root@zabbix-agent ~]# tree /etc/salt/pki
/etc/salt/pki
└── minion
    ├── minion_master.pub
    ├── minion.pem
    └── minion.pub
1 directory, 3 files
minion端也收到了master端发来的公钥,名称做了一下修改,我们可以通过md5来确认一下是不是同一个文件:
[root@zabbix-server ~]# md5sum /etc/salt/pki/master/master.pub
24ca638333e27cfead75343d9b761ee4  /etc/salt/pki/master/master.pub
[root@zabbix-agent ~]# md5sum /etc/salt/pki/minion/minion_master.pub
24ca638333e27cfead75343d9b761ee4  /etc/salt/pki/minion/minion_master.pub

远程执行测试

[root@zabbix-server salt]# salt "zabbix-agent" test.ping
zabbix-agent:
    True
[root@zabbix-server salt]# salt "zabbix-*" test.ping
zabbix-agent:
    True
zabbix-server:
    True

*表示所有,因为*在shell本地也是有含义的因此我们用引号引起来,不让他在shell中体现它的含义。 test.ping,其中test是一个模块,而ping是test模块中的一个方法 这条命令的意思是检测minion是否在干活,这个ping和ICMP的ping不一样,不要搞混了。

[root@zabbix-server salt]# salt "zabbix-agent" cmd.run 'w'
zabbix-agent:
     16:39:41 up 10:34,  1 user,  load average: 0.16, 0.06, 0.06
    USER     TTY      FROM             LOGIN@   IDLE   JCPU   PCPU WHAT
    root     pts/1    192.168.56.1     09:22   29:33  51.41s  0.49s -bash

cmd是模块,run是cmd模块的方法

cmd命令很好用,但是同时也很危险,因为能直接执行命令意味着就可以删除。后面会说到ACL允许特定的人才能执行

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • zabbix导入数据库报错1046 (3D000) : No database selected

    张琳兮
  • 命令执行的过程

    1)用户在命令行输入命令,敲下回车 2)系统判断输入的这个命令是否存在别名 3)存在别名,解析别名,按照别名里面的实际命令来进行下述操作 4)从用户的PATH变...

    张琳兮
  • jumpserver开源跳板机用户链接的时候终端显示connection reset by peer

    我们使用账号链接的时候,在终端页面显示“connection reset by peer”, 然后我们去看日志信息,会显示“FAILED: Authentica...

    张琳兮
  • 开放平台技术浅析

    1、什么是开放平台? 无数的经验证明,一个系统做大了之后,如果是一个封闭的系统,必然越做越小,所以为了吸引更多的开发者一起做大整个生态,厂商就纷纷基于原有的系统...

    大数据和云计算技术
  • 29号下午, Mathematica 软件创始人Stephen Wolfram做客京师学堂,现场照!!!

    WolframChina
  • zabbix-进阶-3

    action动作:condition,operation(remote,command,send message)

    py3study
  • Istio的流量管理(实操一)(istio 系列三)

    使用官方的Bookinfo应用进行测试。涵盖官方文档Traffic Management章节中的请求路由,故障注入,流量迁移,TCP流量迁移,请求超时,熔断处理...

    charlieroro
  • 谷歌宣布了Project Tango项目的“死期”,将集中关注ARCore | 热点

    镁客网
  • 马化腾2017两会七大建议完整版

    image.png   3月3日晚间,全国人大代表、腾讯公司董事会主席兼首席执行官马化腾举行媒体见面会,向与会记者介绍了其围绕“大力发展数字经济”、“未成年...

    腾讯研究院
  • ThunderGBM:快成一道闪电的梯度提升决策树

    尽管近年来神经网络复兴并大为流行,但提升算法在训练样本量有限、所需训练时间较短、缺乏调参知识等场景依然有其不可或缺的优势。目前代表性的提升方法有 CatBoos...

    机器之心

扫码关注云+社区

领取腾讯云代金券