自动化系统管理：SSH与cfengine的高效运用

### 自动化系统管理：SSH 与 cfengine 的高效运用 #### 1. SSH 自动化系统管理 在自动化系统管理中，SSH 是一个强大的工具。脚本在运行时，通常假设所有主目录都位于特定机器上。若要在多台机器间同步主目录，可采用多种方法。也能轻松修改脚本，借助 `o_l` 传输实际的 `]qpdkneva` 文件，以管理其他机器上的账户。 运行带有示例配置文件的脚本时，会得到如下输出： ``` *+]__kqjp)ood)oapql*lh =__kqjpnkkp6]i^an^k^bn]jgfehh =__kqjp^qeh`6]i^an^k^oqo]j ``` 脚本还会创建一个文件，列出所有密钥指纹及其关联的账户名，可用于分析 `ood` 日志条目。 ##### 1.1 监控常用账户 若要监控哪些用户登录了哪些账户，需先记录哪个密钥登录了哪个账户。但 OpenSSH 默认不提供此功能，需通过以下操作提高 `ood` 的日志记录级别： 1. 在 `+ap_+ood+ood` 文件中添加以下行（根据系统实际情况调整路径）： ``` HkcHarahRAN>KOA ``` 2. 添加配置行并重启 `ood` 后，可在日志文件（如 `+r]n+hkc+oa_qna`）中查看日志。为便于阅读，已去除日志头部信息： ``` Bkqj`i]p_dejcNO=gau6__61/6-/6416a16],6526_56.06b16`a6a,6a/65a65^6^2 =__alpa`lq^he_gaubknpaop-bnki-,*-*-*-lknp11320ood. ``` 由于每次登录所需信息在日志文件中跨两行，分析稍显复杂。以下是一个可分析日志文件并汇总用户登录情况的示例脚本： ``` +qon+^ej+lanh)s qoaopne_p7 Pdahkcbehapk]j]huva^u`ab]qhpkj]Na`D]p)^]oa`ouopai iu hkc9+r]n+hkc+oa_qna7 Sdanapdagaubejcanlnejpo]naopkna` iu lnejpo9+qon+hk_]h+ap_+ood+lnejpo7 Benop(na]`]j`opknapdabejcanlnejpoej]d]odp]^ha @qlhe_]pahejaosehhjkpdqnp]jupdejc klaj$LNEJPO( lnejpo%kn`ea?]j#pklaj lnejpo6 Xj7 iu$!Lnejpo( heja%7 sdeha$ heja98LNEJPO%w _dkil$ heja%7 iu$ ]__kqjp( lnejp%9olhep++( heja7  Lnejpow lnejpy9 ]__kqjp7 y _hkoa$LNEJPO%7 Klajpdahkcbeha]j`lnk_aooa]_dheja Opknanaoqhpoej]psk)peand]odp]^ha klaj$HKC( hkc%kn`ea?]j#pklaj hkc6 Xj7 iu$!Naoqhpo( qoan%7 sdeha$ heja98HKC%w _dkil$ heja%7 eb$ heja9z+Bkqj`i]p_dejcXO'gau6$W,)5])b6Y'%+%w @apaniejaqoanbnkilnejp)hkkgqld]od$eblkooe^ha% eb$ Lnejpow -y%w  qoan9 Lnejpow -y7 yahoaw  qoan9#Qjgjksj#7 y yahoeb$ heja9z+=__alpa`lq^he_gaubkn$XO'%+%w  Naoqhpow -yw qoany''7 y y _hkoa$HKC%7 @eolh]updanaoqhpo iu ]__kqjp7 bkna]_d ]__kqjp$gauo!Naoqhpo%w lnejp ]__kqjp6Xj7 bkna]_d qoan$gauo!w Naoqhpow ]__kqjpyy%w lnejp qoan6 Naoqhpow ]__kqjpyw qoany_kjja_pekj$o%Xj7 y y atep,7 ``` 执行该脚本的示例输出如下： ``` *+oodnalknp*lh nkkp6 ]i^an6._kjja_pekj$o% ^k^6-_kjja_pekj$o% ^qeh`6 oqo]j60_kjja_pekj$o% ``` 此脚本较为简单，还可扩展以支持日期范围或报告各次登录的日期。 #### 2. cfengine 系统配置 当需要更系统、更强大的自动化方法时，cfengine 是一个不错的选择。 ##### 2.1 cfengine 概述 cfengine 是一款用于在 UNIX 及类 UNIX 系统上自动化更改的软件。它是一种高级语言，用于描述系统状态，而非像 Perl 或 shell 那样的通用编程语言。其主要为声明式语言，系统管理员只需写出技术描述，而非实现目标的低级步骤列表。熟悉 UNIX 概念和用法的人，无需事先了解 cfengine，就能读懂其配置文件。 cfengine 驱动着一个可视为个人软件机器人的程序 `_b]cajp`，它能在管理员处理其他任务时，自动完成重复性工作。这里使用的是当前版本 2.2.7。 ##### 2.2 cfengine 概念 cfengine 的设计初衷是通过自动化节省时间并减少错误，同时使计算机系统能够自我纠正错误。虽然设置和配置 cfengine 可能需要一些时间，但完成后会带来诸多便利。 起初，使用 cfengine 执行新任务可能比手动执行花费更多时间。但在升级操作系统导致旧配置丢失时，cfengine 能轻松重新执行更改。若多个系统需要相同更改，只需将新系统添加到相应类别，cfengine 就能在数秒内完成更改。 cfengine 允许使用一组配置文件，每个主机在每次运行前可从一个或多个 cfengine 服务器传输配置文件。只要在这组配置文件中进行