Очень часто необходимо выполнять ряд рутинных задач на множестве компьютеров под управлением OC Linux. При этом хотелось бы минимизировать затрачиваемые силы и не уменьшать безопасность сети. На текущий момент стандартом для удалённого выполнения команд и приложений является openssh. Но стандартная процедура выполнения задач администрирования выглядит следующим образом
Соответственно при выполнение однотипных задач на N машинах, возникает необходимость ввести 2N раз пароль. При достаточно больших N >= 10, желание выполнять такую задачу у администратора такой сети резко пропадает. Чтобы увеличить производительность и повысить эффективность выполнения таких задач, предлагается следующее решение.
Создать один dsa-ключ управления АРМ, «закрытый» паролем. Разместить публичную часть по локальным машинам сети. И использовать механизм агента аутентификации ssh, для выполнения задач на всех машинах одновременно или последовательно, без ввода пароля 2N раз.
Процедура генерации можно проводить на любой машине под управлением ОС LINUX c установленным пакетом openssh. В последствии закрытая часть ключа будет переложена на машину управления в домашний каталог пользователя, который будет выполнять функции администрирования АРМ сети, а открытая на каждую из АРМ.
Для генерации dsa-ключа управления АРМ необходимо выполнить следующую команду
В итоге вы получаете два файла accessKey_dsa и accessKey_dsa.pub. Первый — это секретная часть ключа, второй — открытая.
Секретную часть ключа (accessKey_dsa) необходимо положить на машину управления, в нашем случае это root.org.mo.ru. Я выбрал для хранения ключа директория /etc/openssh/keys, предварительно создав ее. Так же необходимо убедиться, что владелец этой директории root, и права на нею правильные (0700). Туда же стоит положить и публичную часть, чтобы не потерялась и при необходимости всегда знать, где можно ее взять.
Управление будет
положить и публичную часть («чтобы было»).