企业🤖AI智能体构建引擎,智能编排和调试,一键部署,支持私有化部署方案 广告
### 管理用户基于密钥的 SSH 访问 唯一安全的服务器是关闭的。尽管如此,对于服务器访问控制的一个好方法是, 使用经过私钥短语保护的 SSH 密钥的用户帐户, 而不是多个用户使用一个共享账号和一个众所周知的口令。 Puppet 使这种管理变得简单,感谢其内置的 ssh_authorized_key 类型。 将它与上一节讲述的虚拟用户相结合,你可以创建一个包括 user 和 ssh_authorized_key 的 define。 对于需要添加自定义文件和其他每用户自己的资源时,这也会是有用的。 #### 操作步骤 1. 对上一节创建的 user::virtual 类做如下修改: ``` class user::virtual { define ssh_user( $key ) { user { $name: ensure => present, managehome => true, } ssh_authorized_key { "${name}_key": key => $key, type => "ssh-rsa", user => $name, } } @ssh_user { "phil": key => "AAAAB3NzaC1yc2EAAAABIwAAAIEA3ATqENg+GW ACa2BzeqTdGnJhNoBer8x6pfWkzNzeM8Zx7/2Tf2pl7kHdbsiT XEUawqzXZQtZzt/j3Oya+PZjcRpWNRzprSmd2UxEEPTqDw9LqY5S2B8og/ NyzWaIYPsKoatcgC7VgYHplcTbzEhGu8BsoEVBGYu3IRy5RkAcZik=", } } ``` 2. 在一个节点上包含如下代码: ``` realize( User::Virtual::Ssh_user["phil"] ) ``` 3. 运行 Puppet: ``` # puppet agent --test info: Retrieving plugin info: Caching catalog for cookbook.bitfieldconsulting.com info: Applying configuration version '1305561740' notice: /Stage[main]/User::Virtual/User::Virtual::Ssh_user[phil]/ User[phil]/ensure: created notice: /Stage[main]/User::Virtual/User::Virtual::Ssh_user[phil]/ Ssh_authorized_key[phil_key]/ensure: created notice: Finished catalog run in 1.04 seconds ``` #### 工作原理 我们创建了一个名为 ssh_user 的 define,它包括用户自身的 user 资源以及与其相关的 ssh_authorized_key 资源,内容如下: ``` define ssh_user( $key ) { user { $name: ensure => present, managehome => true, } ssh_authorized_key { "${name}_key": key => $key, type => "ssh-rsa", user => $name, } } ``` 然后我们对用户 phil 创建了 ssh_user 的一个虚拟资源实例: ``` @ssh_user { "phil": key => "AAAAB3NzaC1yc2EAAAABIwAAAIEA3ATqENg+GW ACa2BzeqTdGnJhNoBer8x6pfWkzNzeM8Zx7/2Tf2pl7kHdbsiT XEUawqzXZQtZzt/j3Oya+PZjcRpWNRzprSmd2UxEEPTqDw9LqY5S2B8og/ NyzWaIYPsKoatcgC7VgYHplcTbzEhGu8BsoEVBGYu3IRy5RkAcZik=", } ``` 回顾一下,因为资源是虚拟的,Puppet 会意识到这一点,所以它不会创建任何实际的资源, 直到你调用 realize 时才真正创建。 最后,我们在节点中添加了如下代码: ``` realize( User::Virtual::Ssh_user["phil"] ) ``` 这会实际创建 user 资源以及包含其公钥的 authorized_keys 资源。 #### 更多用法 可以将这种思想应用到上一节提及的 “组织用户到组的类” 中,修改相应类的代码为: ``` class user::sysadmins { search User::Virtual realize( Ssh_user["john"], Ssh_user["graham"] ) } ``` 使用 search User::Virtual 的目的仅仅是为了避免杂乱,这允许你直接引用 Ssh_user, 而不用每次都要使用 User::Virtual:: 前缀。 另外,你可能会遭遇如下的错误: ``` err: /Stage[main]/User::Virtual/User::Virtual::Ssh_user[graham]/Ssh_ authorized_key[graham_key]: Could not evaluate: No such file or directory - /home/graham/.ssh ``` 这或许是因为你之前已经创建过 graham 用户,但没有使用 Puppet 管理其自家目录。 这种情况下,Puppet 不会自动创建 authorized_keys 文件所需的 .ssh 目录。 运行如下的命令: ``` # userdel graham ``` 之后再次运行 Puppet 即可解决此问题。