最新版cmtkit(cmtools)發(fā)布··歡迎使用測(cè)試【2011-11-05】

duanjigang

cmtkit是cmtools改名后的工程，如果您對(duì)cmtkit還不了解，請(qǐng)參考以前的文章:

系統(tǒng)管理工具[cmserver-cmclient]第一版--請(qǐng)測(cè)試
http://www.72891.cn/thread-1882257-1-2.html

cmtools測(cè)試版發(fā)布(加強(qiáng)版cmclient-cmserver)--RPM安裝包
http://www.72891.cn/thread-2328768-1-1.html




歡迎從我的個(gè)人站點(diǎn)下載使用：

http://jigang.bv2.mianfeidns.com/download.php

cmtk-1.0.2-1.el5.i386.rpm   
cmtkctl-1.0.2-1.el5.i386.rpm   
cmtkd-1.0.2-1.el5.i386.rpm
cmtkd-1.0.2-1.el5.x86_64.rpm
cmtkctl-1.0.2-1.el5.x86_64.rpm
cmtk-1.0.2-1.el5.x86_64.rpm


經(jīng)過一段的修改和測(cè)試，增加了一些功能，對(duì)實(shí)現(xiàn)做了些修改，還有授權(quán)方式。具體內(nèi)容如下說明:


版本 1.0.2-1 變化說明:
               
                (1):         控制端，服務(wù)端，授權(quán)控制程序 分開成三個(gè)安裝包發(fā)布

                        把客戶端程序和服務(wù)端程序開發(fā)制作安裝包，授權(quán)控制程序也分開制作安裝包。
                        控制客戶端 cmtk 打包
                        服務(wù)程序 cmtkd 打包
                        授權(quán)控制 cmtkclt 打包
                        比如:
                        cmtk-1.0.2-1.el5.i386.rpm   
                        cmtkctl-1.0.2-1.el5.i386.rpm   
                        cmtkd-1.0.2-1.el5.i386.rpm
               
                (2):功能變化

                        增加了文件下載的功能
                        原來的功能為單機(jī)(批量多機(jī))執(zhí)行命令和上傳文件，這一版本增加了從遠(yuǎn)程機(jī)器下載文件的功能，批量和單機(jī)都支持
                        文件大小不超過5MB。
                        用法如下:
                        -r 指定遠(yuǎn)程要下載的文件 remote file
                        -l 指定本地存儲(chǔ)的文件名稱 localfile
                        實(shí)際存儲(chǔ)到本地的文件名稱為  localfile.hostname
                        比如:
                        cmtk -h 10.32.102.48 -r /tmp/aa.c -l /tmp/22.c
                        得到下載的文件為
                        /tmp/22.c.10.32.102.48
                        如果進(jìn)行批量操作的話，不同主機(jī)的目標(biāo)文件，按照主機(jī)名稱做后綴進(jìn)行區(qū)分

                (3):其它
                        基本用法和授權(quán)與以前版本的一致。

(4):代碼以及設(shè)計(jì)上的修改


                升級(jí)內(nèi)容
                第一:代碼容錯(cuò)和實(shí)現(xiàn)細(xì)節(jié)修改

第二:安全認(rèn)證功能強(qiáng)化

具體細(xì)節(jié)說明
cmtkit這次升級(jí)，在功能上沒有大的變化，大多數(shù)是代碼實(shí)現(xiàn)的修改。

代碼實(shí)現(xiàn)細(xì)節(jié)修改
代碼實(shí)現(xiàn)部分的修改與功能基本無關(guān)，只因在配管系統(tǒng)的開發(fā)過程中發(fā)現(xiàn)了cmtkit在實(shí)現(xiàn)上的一些不周之處，此次升級(jí)加以修改，希望能夠增強(qiáng)其穩(wěn)定性和容錯(cuò)能力。

安全認(rèn)證功能強(qiáng)化
安全認(rèn)證部分升級(jí)，變化比較多，從授權(quán)方式，到cmtkd端認(rèn)證的具體實(shí)現(xiàn)都做了較大變化。

在以前版本的cmtkit中，控制中心對(duì)客戶端的訪問權(quán)限的控制，是通過主機(jī)IP(或者主機(jī)名)來實(shí)現(xiàn)的，也就是說，在N個(gè)客戶端上，存儲(chǔ)著每個(gè)能夠訪問它的控制中心的IP地址，如果某個(gè)發(fā)送命令的主機(jī)地址不在授權(quán)文件中存在，就拒絕服務(wù)，不接受該控制中心發(fā)送的命令執(zhí)行和文件上傳請(qǐng)求。

這種安全控制策略，只能實(shí)現(xiàn)主機(jī)訪問的控制和審計(jì)，如果在主機(jī)上有不同的人登錄，去使用cmtools操作遠(yuǎn)程主機(jī)，是不能區(qū)分的，如果出現(xiàn)意外錯(cuò)誤的話，問責(zé)和審計(jì)也不能夠做的很細(xì)致，因此有必要做到細(xì)化到人的安全認(rèn)證機(jī)制。

在主機(jī)認(rèn)證的基礎(chǔ)上，增加用戶名的認(rèn)證，基本上能能夠?qū)崿F(xiàn)到這一步。

修改后功能如下:

cmtkd接收到控制中心發(fā)送到命令或者文件時(shí)，會(huì)用cmtk的命令執(zhí)行者和來源主機(jī)名去做權(quán)限校驗(yàn)，(以前只是用主機(jī)名做校驗(yàn))，如果校驗(yàn)通過

就執(zhí)行命令或者接收文件，否則拒絕服務(wù)并反問拒絕信息。

cmtkctl授權(quán)工具的接口稍加修改，add或者del的時(shí)候，需要提供用戶名信息，也就是執(zhí)行cmtk的用戶名稱。比如cmtkctl list 查看結(jié)果如下：


cmtkctl list /etc/cmserver.lst

root@10.32.102.34(10.32.102.34 )

duanjigang@10.32.102.34(10.32.102.34)


增加或者刪除一個(gè)用戶的權(quán)限信息如下:


cmtkctl add test_user@10.32.102.33 /etc/cmserver.lst

cmtkctl del test_user@10.32.102.31 /etc/cmserver.lst


把生成的授權(quán)文件拷貝到客戶端機(jī)器上，重啟cmtkd服務(wù)，即可按照新的授權(quán)信息運(yùn)行。

另外需要說明的是:

cmtk命令行工具在使用時(shí)禁止root登陸執(zhí)行或者root身份去運(yùn)行，目的是為了能夠記錄執(zhí)行者的身份和登陸身份，對(duì)應(yīng)到人，方便cmtkd日志審計(jì)。

對(duì)于通過程序來自動(dòng)調(diào)用cmtk執(zhí)行命令，無login信息的調(diào)用，cmtkit目前是直接放行的

duanjigang

:wink:

seufy88

支持段大。

賀蘭云天

頂！

lzqie

段兄 能集成web，然后做到分組，下發(fā)腳本就爽了！ 呵呵