免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
最近访问板块 发新帖
查看: 5241 | 回复: 4

最新版cmtkit(cmtools)发布··欢迎使用测试【2011-11-05】 [复制链接]

论坛徽章:
0
发表于 2011-11-05 10:10 |显示全部楼层
本帖最后由 duanjigang 于 2011-11-05 10:15 编辑

cmtkit是cmtools改名后的工程,如果您对cmtkit还不了解,请参考以前的文章:

系统管理工具[cmserver-cmclient]第一版--请测试
http://bbs.chinaunix.net/thread-1882257-1-2.html

cmtools测试版发布(加强版cmclient-cmserver)--RPM安装包
http://bbs.chinaunix.net/thread-2328768-1-1.html





欢迎从我的个人站点下载使用:

http://jigang.bv2.mianfeidns.com/download.php

cmtk-1.0.2-1.el5.i386.rpm   
cmtkctl-1.0.2-1.el5.i386.rpm   
cmtkd-1.0.2-1.el5.i386.rpm
cmtkd-1.0.2-1.el5.x86_64.rpm
cmtkctl-1.0.2-1.el5.x86_64.rpm
cmtk-1.0.2-1.el5.x86_64.rpm



经过一段的修改和测试,增加了一些功能,对实现做了些修改,还有授权方式。具体内容如下说明:


版本 1.0.2-1 变化说明:
               
                (1):         控制端,服务端,授权控制程序 分开成三个安装包发布

                        把客户端程序和服务端程序开发制作安装包,授权控制程序也分开制作安装包。
                        控制客户端 cmtk 打包
                        服务程序 cmtkd 打包
                        授权控制 cmtkclt 打包
                        比如:
                        cmtk-1.0.2-1.el5.i386.rpm   
                        cmtkctl-1.0.2-1.el5.i386.rpm   
                        cmtkd-1.0.2-1.el5.i386.rpm
               
                (2):功能变化

                        增加了文件下载的功能
                        原来的功能为单机(批量多机)执行命令和上传文件,这一版本增加了从远程机器下载文件的功能,批量和单机都支持
                        文件大小不超过5MB。
                        用法如下:
                        -r 指定远程要下载的文件 remote file
                        -l 指定本地存储的文件名称 localfile
                        实际存储到本地的文件名称为  localfile.hostname
                        比如:
                        cmtk -h 10.32.102.48 -r /tmp/aa.c -l /tmp/22.c
                        得到下载的文件为
                        /tmp/22.c.10.32.102.48
                        如果进行批量操作的话,不同主机的目标文件,按照主机名称做后缀进行区分

                (3):其它
                        基本用法和授权与以前版本的一致。

(4):代码以及设计上的修改


                升级内容
                第一:代码容错和实现细节修改

第二:安全认证功能强化

具体细节说明
cmtkit这次升级,在功能上没有大的变化,大多数是代码实现的修改。

代码实现细节修改
代码实现部分的修改与功能基本无关,只因在配管系统的开发过程中发现了cmtkit在实现上的一些不周之处,此次升级加以修改,希望能够增强其稳定性和容错能力。

安全认证功能强化
安全认证部分升级,变化比较多,从授权方式,到cmtkd端认证的具体实现都做了较大变化。

在以前版本的cmtkit中,控制中心对客户端的访问权限的控制,是通过主机IP(或者主机名)来实现的,也就是说,在N个客户端上,存储着每个能够访问它的控制中心的IP地址,如果某个发送命令的主机地址不在授权文件中存在,就拒绝服务,不接受该控制中心发送的命令执行和文件上传请求。

这种安全控制策略,只能实现主机访问的控制和审计,如果在主机上有不同的人登录,去使用cmtools操作远程主机,是不能区分的,如果出现意外错误的话,问责和审计也不能够做的很细致,因此有必要做到细化到人的安全认证机制。

在主机认证的基础上,增加用户名的认证,基本上能能够实现到这一步。

修改后功能如下:

cmtkd接收到控制中心发送到命令或者文件时,会用cmtk的命令执行者和来源主机名去做权限校验,(以前只是用主机名做校验),如果校验通过

就执行命令或者接收文件,否则拒绝服务并反问拒绝信息。

cmtkctl授权工具的接口稍加修改,add或者del的时候,需要提供用户名信息,也就是执行cmtk的用户名称。比如cmtkctl list 查看结果如下:


cmtkctl list /etc/cmserver.lst

root@10.32.102.34(10.32.102.34 )

duanjigang@10.32.102.34(10.32.102.34)


增加或者删除一个用户的权限信息如下:


cmtkctl add test_user@10.32.102.33 /etc/cmserver.lst

cmtkctl del test_user@10.32.102.31 /etc/cmserver.lst


把生成的授权文件拷贝到客户端机器上,重启cmtkd服务,即可按照新的授权信息运行。

另外需要说明的是:

cmtk命令行工具在使用时禁止root登陆执行或者root身份去运行,目的是为了能够记录执行者的身份和登陆身份,对应到人,方便cmtkd日志审计。

对于通过程序来自动调用cmtk执行命令,无login信息的调用,cmtkit目前是直接放行的

论坛徽章:
0
发表于 2011-11-05 10:18 |显示全部楼层
:wink:

论坛徽章:
1
双子座
日期:2013-11-06 17:18:01
发表于 2011-11-25 13:28 |显示全部楼层
支持段大。

论坛徽章:
0
发表于 2011-11-27 07:27 |显示全部楼层
顶!

论坛徽章:
0
发表于 2012-11-08 11:44 |显示全部楼层
段兄 能集成web,然后做到分组,下发脚本就爽了! 呵呵
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP