3000+ সোলারিস, এআইএক্স এবং লিনাক্স সার্ভারে রুট পাসওয়ার্ড পরিবর্তন করার সর্বোত্তম উপায়?

দীর্ঘ গল্প সংক্ষিপ্ত: বড় পুরানো কর্পোরেশন, প্রচুর ইউনিক্স / লিনাক্স সার্ভার।

আমি বেশ কয়েক বছর আগে যে স্ক্রিপ্টগুলি ফেলেছিলাম তার জন্য আমি উত্তরাধিকার সূত্রে পেয়েছি। এর মধ্যে একটি হ'ল একটি স্ক্রিপ্ট যা আমাদের সমস্ত সার্ভারগুলিতে মূল পাসওয়ার্ডটি বিশ্বব্যাপী আপডেট করতে প্রতি X এক্স পরিমাণ মাসে চালিত হবে।

স্ক্রিপ্টটি শেল স্ক্রিপ্ট এবং প্রত্যাশার একটি জগাখিচুড়ি, এবং এটি এসএসএইচ বিশ্বাসের উপর কাজ করে যা আমাদের সমস্ত সার্ভার এবং একটি কেন্দ্রীয় কমান্ড এবং নিয়ন্ত্রণ সার্ভারের মধ্যে সেট আপ করা হয়।

সমস্যাটি হ'ল, স্ক্রিপ্টটি বিশাল এক জগাখিচুড়ি। প্রত্যাশা আদেশগুলি "ইউএসআইএক্স / লিনাক্স বাক্সে বিদ্যমান" পাসডাব্লুডি "এর প্রতিটি সম্ভাব্য সংস্করণটির জন্য অ্যাকাউন্ট করার চেষ্টা করছে - এবং সেগুলি কিছুটা আলাদা হয়।

যেহেতু আমরা আমাদের প্রচুর অবকাঠামো প্রসারিত এবং আপগ্রেড করছি, স্ক্রিপ্টটি সত্যিই নিয়ন্ত্রণহীন হয়ে উঠছে।

আমার প্রশ্ন: এটি করার আরও ভাল উপায় আছে কি? ইতিমধ্যে প্রতিষ্ঠিত এসএসএইচ আস্থা আছে তা ধরে নিচ্ছি, একই সাথে 3000+ সার্ভারে রুট পাসওয়ার্ড পরিবর্তন করার সর্বোত্তম উপায় কী?

পুতুল ব্যবহার করুন ।

পুতুল অত্যন্ত নমনীয়, বজায় রাখা সহজ এবং এসএসএল ব্যবহার করে। কিছুটা ওভারকিল শব্দ হতে পারে এবং আপনার পুতুল সিস্টেমটি তৈরি করতে আপনাকে আরও কিছু প্রচেষ্টা করতে হবে।

কিন্তু। সম্ভবত আপনি এই মেশিনগুলির সাথে করণ এটি শেষ ভর-আপডেট নয়। পুতুল আপনাকে প্রচুর সময় সাশ্রয় দেয় ও দেয় যখন বাস্তব-যা-কিছু গণ-আপডেট পদ্ধতি শুরু হয় এবং স্ক্রিপ্টগুলি খুব পঠনযোগ্য / পুনরায় ব্যবহারযোগ্য।

কমপক্ষে এটি আমার জন্য কয়েক বছর আগে কাজ করেছে এবং এখনও আমি Pu পুতুলের কিছু রেসিপি (ওরফে স্ক্রিপ্ট) ব্যবহার করতে সক্ষম হয়েছি। আমি এটিকে কিছুটা ছোট পরিবেশেও ব্যবহার করেছি কেবল এটি নিশ্চিত করে নিন যে প্রতিটি মেশিন আসলেই একটি পরিচিত রাষ্ট্র রয়েছে ।

আমি এটি বহুবার প্রমাণ করেছি (বহু সংস্থায়) সমস্ত কাস্টমাইজড ডিপ্লোয়মেন্ট স্ক্রিপ্টগুলি কিছুক্ষণ পরে বা যখন পরের লোকটি ভিতরে আসে তখন বাটটিতে ব্যথা হয়ে যায় And এবং যতক্ষণ আপনি সেলফোন বহন করেন ততক্ষণ পুরানো স্ক্রিপ্টগুলি আপনাকে আটকায়।

যদি আপনি মনে করেন এটি আসলে ভাল লাগছে তবে আপনাকে শুরু করার জন্য এখানে ভার্চুয়াল পরিবেশ সহ একটি দুর্দান্ত পুতুল টিউটোরিয়াল রয়েছে ।

আমি দুর্দান্ত সাফল্যের সাথে সোলারিসে পার্ল মডিউল অথেন :: পিএএম ব্যবহার করেছি। এখানে একটি নমুনা স্ক্রিপ্ট:

#!/usr/bin/perl

use Authen::PAM;

my $username = 'root';
my $password = '1234567';

die qq{Error: Unknown user\n} unless getpwnam($username);

die qq{Error: You must run this as root.\n} unless ($> == 0);

my $pamh;

sub my_conv_func
{
    my @res;
    while ( @_ )
    {
        my $code = shift;
        my $msg = shift;
        my $ans = "";

        if ($code == PAM_PROMPT_ECHO_OFF() )
        {
            if (($msg =~ /^New Password:/i) or ($msg =~ /^Re-enter new Password:/i))
            {
                $ans = $password;
            }
            else
            {
                die qq{Unknown message: $msg\n};
            }
        }
        else
        {
            print qq{$msg\n};
        }

        push @res, (PAM_SUCCESS(), $ans);
    }
    push @res, PAM_SUCCESS();

    return @res;
}

ref($pamh = new Authen::PAM("passwd", $username, \&my_conv_func)) || die "Error code $pamh during PAM init!";

my $res = $pamh->pam_chauthtok;

print $pamh->pam_strerror($res),"\n" unless $res == PAM_SUCCESS();

exit 0;

পার্ল লিখতে পারলে নেট :: ওপেনএসএসএইচ :: সমান্তরাল এসএসএইচ এর মাধ্যমে রিমোট হোস্টগুলিতে সমান্তরালে ক্রিয়া সম্পাদন করতে পারে এমন স্ক্রিপ্টগুলি লিখতে দেয়।

এটিতে পাসওয়ার্ড পরিবর্তন করার জন্য একটি নমুনা স্ক্রিপ্ট রয়েছে যা আপনি বেস হিসাবে ব্যবহার করতে পারেন। যেহেতু মনে হচ্ছে আপনার একটি ভিন্ন ভিন্ন পরিবেশ রয়েছে আপনি টাইপ করে হোস্টগুলিকে গ্রুপ করতে এবং প্রত্যেকের জন্য আলাদা ডায়ালগ হ্যান্ডলিং সাব ব্যবহার করতে চান।

আমি "সেরা" সম্পর্কে জানি না, এবং আপনার মিশ্রণে সমস্ত নন-লিনাক্স * নিক্স মেশিনের পক্ষে এটি সম্ভব কিনা, তবে আপনি কি এই জাতীয় ক্রিয়াকলাপের জন্য পুতুল বা সিফিনজিনের দিকে নজর রেখেছেন?

সেখানে পরিচয় ব্যবস্থাপনার জন্য বাণিজ্যিক (অত্যন্ত ব্যয়বহুল) সরঞ্জামও রয়েছে, আমি অতীতে দুটি দেখেছি / ব্যবহার করেছি হ'ল ওরাকল আইডেন্টিটি ম্যানেজার এবং নভেল সমতুল্য।

এই গবেষণা চালিয়ে যাওয়ার পরে, আমি কয়েকটি জিনিস শিখেছি ...

প্রথম এবং সর্বাগ্রে, এটি স্বয়ংক্রিয়ভাবে চালিত করা সত্যিই বিরক্তিকর কাজ, বিশেষত বিভিন্ন বিভিন্ন পরিবেশের মধ্যে। এই প্রশ্নের সর্বাধিক সঠিক উত্তর সম্ভবত @ টমি'র পুতুল ব্যবহার করুন।

অবশেষে আমি পুতুলকে অবকাঠামোগত ব্যবস্থাপনার জন্য প্রত্যাশা করব, তবে এখনই রুট পাসওয়ার্ড পরিবর্তনের জন্য পুরো এন্টারপ্রাইজের ইউনিক্স সার্ভারগুলিতে স্থাপন করা কোনও বিকল্পের পক্ষে এটি সম্ভবপর নয়।

অনেকগুলি ম্যানেজ এবং প্রচুর গুগল-ফু পড়ার পরে, আমি একটি স্ক্রিপ্ট নিয়ে আসতে সক্ষম হয়েছি যা টার্গেট সার্ভারের তালিকার মধ্য দিয়ে যায়, একটি এসএসএইচ সংযোগ খোলে এবং নিম্নলিখিতগুলির মধ্যে একটি চালায়:

# Solaris
# Generate new pass via crypt(newpass,salt) and insert it into /etc/shadow

# AIX
$ echo "root:newpass" | chpasswd -f NOCHECK

# Linux
$ echo "newpass" | passwd root --stdin

# IBM VIO (Virtual I/O)
$ echo "echo \"padmin:newpass\" | chpasswd -f NOCHECK" | oem_setup_env

# IBM HMCs (Hardware Management Consoles)
$ chhmcusr -u hscroot -t passwd -v "newpass"

এটি কেবল those কমান্ডগুলি চালানোর চেয়ে কিছুটা বেশি করে, তবে উপরেরগুলি যাদু কাজ করে।

সোলারিসে অ-পুনরাবৃত্তভাবে পাসওয়ার্ড পরিবর্তন করার কোনও সহজ উপায় আমি খুঁজে পেলাম না - তাই আমরা ফ্লাইতে পরিবর্তনের /etc/shadowচেষ্টা করেছি।

সম্প্রতি আমি ব্যাশ স্ক্রিপ্টটি ব্যবহার করে এটি করেছি ..

#!/usr/bin/env bash

# Change Password of Remote Server Using SSH

#--------------------------------------------
# Define User which you want to
# Change Password in remote server
#--------------------------------------------
Uname="root"
# Create Password in Encrpyted Form Using below command,
# and store in this script
# perl -e'print crypt("YourPassword", "salt")' ; echo -e
# then copy and past in following varible,
# password should be single qouted*

Password='safv8d8ESMmWk'

Update_Pass() {
  ssh $ruser@$Server_ip  -p $port "echo ${Uname}:${Password} | chpasswd -e"
}

Show_Help(){
cat <<_EOF
Usage $0        [OPTION]..
Mandatory arguments to long options are mandatory for short options too.
  -i, --ip     <IP_ADDR_OF_SREVER> IP Address Of Remote Server
  -u, --user   <Username>          Username Of Remote Server    <Default User is root>
  -p, --port   <port>              Port Of Remote Server        <Default is 22>

Note:- For Security Reason Do Not Provide Password to the script, because
       it will get save in history, so do not provide it,
       script will prompt for password

Report $0 bugs to loginrahul90@gmail.com
_EOF
}



Main() {

        case $1 in
           -i|--ip) Server_ip=$2;
                    ruser="$4"; [[ -z $ruser ]] && ruser=root
                    port="$6";  [[ -z $port  ]]  && port=22
                    Update_Pass ;;
                *)  Show_Help ;;
        esac
}

Main $*

এটি এখন পর্যন্ত আমার সমাধান। এটি এখনও একাধিক সিস্টেমে কাজ করে কিনা তা দেখতে হবে

#!/usr/bin/env bash

ChangePassword()
{
    echo "changing password for server $ServerIp"
    ssh root@$ServerIp "echo root:${NewPassword} | chpasswd" < /dev/null
}

CreatePassword()
{
    while true;
    do
        echo "Please enter the new password :"
        read -s NewPassword <&0
        echo "Confirm the password :"
        read -s ConfirmPassword <&0 
        # /proc/${PPID}/fd/0

        if [ "$NewPassword" == "$ConfirmPassword" ]
        then
            break
        else
            echo "Passwords do not match"
            echo "Try again..."
        fi
    done
    ChangePassword
    echo "end of createpassword"
}

SetUpPasswordlessSSH()
{   
    echo "enter the old password from server $ServerIp when asked"
    ssh root@$ServerIp mkdir -p .ssh
    cat .ssh/id_rsa.pub | ssh root@$ServerIp 'cat >> .ssh/authorized_keys'

    echo "Passwordless SSH is now available"
    echo "Now you can change the password"
    CreatePassword
}

NoSSH()
{
    echo "Passwordless SSH for this server with ip $ServerIp is not yet set up."
    read -p "Do you want to set it up now? " -n 1 -r <&0
    echo "" 
    if [[ ! $REPLY =~ ^[Yy]$ ]]
    then
        break
    else
        SetUpPasswordlessSSH
    fi
}

AcceptHostKey()
{
    read -p "Do you trust the server? " -n 1 -r <&1 
    echo ""
    if [[ ! $REPLY =~ ^[Yy]$ ]]
    then
        break
    else
        SetUpPasswordlessSSH
    fi
}

Main()
{
    while read -r ServerIp <&9
    do
        echo  "Server $ServerIp ..."
        status=$(ssh -o BatchMode=yes -o ConnectTimeout=5 $ServerIp echo ok 2>&1)
        if [[ $status == ok ]]
        then
            echo "creating password"
            CreatePassword
            echo "password changed"
        elif [[ $status == "Permission denied"* ]]
        then
            NoSSH
        elif [[ $status == "Host key verification failed"* ]]
        then
            echo "Error: $status"
            AcceptHostKey
        else
            echo "ERROR OCCURED FOR SERVER WITH IP: $ServerIp"
            echo "Error: $status"
        fi
    done 9< servers.txt
    history -cw
    clear
}

Main $*

আপনি একইসাথে একাধিক হোস্টে আপনার কমান্ড চালানোর জন্য পিডিএস ব্যবহার করতে পারেন ।

পুতুল ছাড়াও: সল্টস্ট্যাক আরেকটি পদ্ধতি - এসএসএইচ লাইবসকে ক্রমান্বয়ে বা সমান্তরালভাবে ফ্যাব্রিক http://docs.fabfile.org/en/1.6/ , ক্যাপিস্ট্রানো বা অনুরূপ ব্যবহার করে স্বয়ংক্রিয় সম্পাদন স্বয়ংক্রিয়ভাবে প্রয়োগ করা দরকার যা মোতায়েনের জন্য বেশি সময় / প্রচেষ্টা প্রয়োজন হয় না।

দুটি বিকল্প:

পুতুল ব্যবহার করুন

রান ডেক ব্যবহার করুন। রান ডেক একটি সার্ভার যা আপনাকে একসাথে কয়েক শ মেশিনে কমান্ড কার্যকর করতে দেয়। মেশিনের কেবলমাত্র একটি উপসেটে কমান্ড কার্যকর করতে আপনি মেশিনগুলিকে দলে দলে গ্রুপ করতে পারেন।

http://rundeck.org

আমি মনে করি /etc/shadowফাইলটির ফর্ম্যাটটি লিনাক্স ডিস্ট্রোস জুড়ে বেশ মানক। আপনি কি পাসওয়ার্ড আপডেট করার জন্য একটি সহজ অ্যাডক স্ক্রিপ্ট লিখতে পারেন।

cat /etc/shadow| awk -v pass='NEWPASSHASH' -v now=`date '+%s'` 'BEGIN{ OFS=FS=":"} /^root/ {$2=pass; $3=now} {print}' > /tmp/shadow && mv /tmp/shadow /etc/shadow

আমি এটি পরীক্ষা করে নেওয়ার বিষয়টি নিশ্চিত করব যাতে আপনি নিজের স্বরে তালা ঝুলেন না;)