ssh étant un protocole sécurisé, il faut impérativement que la clé publique du certificat d’identification du serveur maître soit recopié sur chaque serveur fils, pour que la connexion puisse s’effectuer sans saisie de mot de passe.
Consulter à cet effet le document « automatiser les échanges par ssh et scp », qui décrit la procédure à mettre en oeuvre.
A noter qu’on peut rapidement déployer la clé publique sur les serveurs fils en utilisant ce script :
cat /root/majiddsapubscp id_svocs.pub $1:/root/ssh $1 "cat /root/id_svocs.pub >>/root/.ssh/authorized_keys"qui va s’utiliser ainsi :
/root/majiddsapub nom_du_serveurIl faudra simplement taper deux fois le mot de passe de root pour réaliser l’opération.
Il est toujours intéressant de pouvoir s’y retrouver, surtout au bout de quelques mois d’intervention. Voici un exemple d’arborescence mise en œuvre :
/root/scripts : racine des scripts. On stocke ici les fichiers contenant les listes de serveurs à traiter (on peut avoir plusieurs listes selon les opérations à effectuer).
/root/scripts/20090304/ dossier contenant les scripts créés le 4 mars 2009. On y retrouvera au minimum le script maître, par exemple : script. On pourra également trouver le script qui doit s’exécuter sur les serveurs distants : scriptdistant.
Dans un fichier texte, insérer la liste des serveurs, avec une ligne par serveur. Ne pas laisser de ligne vide. Utiliser de préférence les noms dns, qui garantissent un accès dans tous les cas de figure aux serveurs distants.
Voici un exemple de script, qui peut être adapté en fonction des besoins :
cat script# Mise a jour de la liste des rpmfor serveur in $(cat ../listeserveurs)doecho "serveur en cours de traitement : "$serveurscp /root/majlisterpm $serveur:/root/scp scriptdistant $serveur:/root/ssh $serveur /root/scriptdistantdoneCe programme va recopier le fichier /root/majlisterpm sur chaque serveur, le fichier scriptdistant, puis va exécuter le fichier scriptdistant préalablement recopié.
Ne pas oublier de rendre exécutable le script :
chmod +x scriptdsh est un utilitaire qui permet de réaliser ce que fait le script précédent, à savoir générer les commandes pour un ensemble de serveurs.
La syntaxe est simple :
dsh [-m machinename | -a | -g groupname] [-r remoteshellname] [-c | -w | -i | -F forklimit ] -- commandlinem : permet d’indiquer sur quelle(s) machine(s) doit être exécuté le script (nom des machines séparées par une virgule)
a : exécute le script sur toutes les machines déclarées dans le fichier /etc/dsh/machines.list
g : exécute le script pour le groupe de machines décrit dans /etc/dsh/group/nomgroupe (équivalent au fichier listeserveurs ci-dessus)
f listeserveurs : exécute le script pour le groupe de machines décrit dans le fichier indiqué (pas forcément dans /etc/dsh/group/)
r : par défaut, dsh va exécuter les scripts en utilisant rsh. Il est possible de forcer l’exécution avec ssh, par exemple, en utilisant cette option. Ce paramètre peut également être modifié par défaut dans le fichier /etc/dsh/dsh.conf
c : exécute les commandes en parallèle sur l’ensemble des machines
w : attend que le traitement sur une machine soit terminé avant d’entamer le travail sur la machine suivante
i : quand l’exécution est demandée sur plusieurs machines en parallèle (option -c), crée autant de processus que de machines traitées
F : idem que -c, mais en limitant le nombre de traitements parallèles
v : mode verbeux
q : mode silencieux
Ainsi, le script précédent va pouvoir prendre la forme suivante :
dsh -f ./listeserveurs -r ssh /root/scriptdistantOn écrit le script qui va s’exécuter sur le serveur distant. Dans notre exemple, on va programmer l’exécution de majlisterpm une fois par semaine :
cat scriptdistantif test ! -e /etc/cron.weekly/majlisterpmthenln -s /root/majlisterpm /etc/cron.weekly/majlisterpmfiNe pas oublier de rendre le script exécutable :
chmod +x scriptdistantAutre exemple, pour modifier le compte d’envoi des messages systèmes dans le fichier /etc/postfix/aliases :
cat scriptdistantpostfixcp /etc/postfix/aliases /etc/postfix/aliases.oldsed s/^root:.*$/"root: manouvelleadressemel@mondomaine.com"/ /etc/postfix/aliases.old > /etc/postfix/aliasesIl suffit de lancer l’exécution du script :
./scriptMise en place de l’enregistrement du résultat de l’exécution
Par défaut, tous les messages d’exécution s’afficheront sur la console. Si on veut enregistrer le résultat des commandes, il suffit de modifier le script en redirigeant toutes les commandes vers un fichier log, qu’on pourra alors consulter tranquillement...
Par exemple :
cat script_log$log = /var/log/script.log`date` > $log# Mise a jour de la liste des rpmfor serveur in $(cat ../listeserveurs)doecho "serveur en cours de traitement : "$serveur >> $logscp /root/majlisterpm $serveur:/root/ 1>>$log 2>>$logscp scriptdistant $serveur:/root/ 1>>$log 2>>$logssh $serveur /root/scriptdistant 1>>$log 2>>$logdoneecho "fin de traitement a " `date` >>$log