最新版cmtkit(cmtools)發(fā)布··歡迎使用測試【2011-11-05】

duanjigang

cmtkit是cmtools改名后的工程，如果您對cmtkit還不了解，請參考以前的文章:

系統(tǒng)管理工具[cmserver-cmclient]第一版--請測試
http://72891.cn/thread-1882257-1-2.html

cmtools測試版發(fā)布(加強版cmclient-cmserver)--RPM安裝包
http://72891.cn/thread-2328768-1-1.html




歡迎從我的個人站點下載使用：

http://jigang.bv2.mianfeidns.com/download.php

cmtk-1.0.2-1.el5.i386.rpm   
cmtkctl-1.0.2-1.el5.i386.rpm   
cmtkd-1.0.2-1.el5.i386.rpm
cmtkd-1.0.2-1.el5.x86_64.rpm
cmtkctl-1.0.2-1.el5.x86_64.rpm
cmtk-1.0.2-1.el5.x86_64.rpm


經(jīng)過一段的修改和測試，增加了一些功能，對實現(xiàn)做了些修改，還有授權(quán)方式。具體內(nèi)容如下說明:


版本 1.0.2-1 變化說明:
               
                (1):         控制端，服務(wù)端，授權(quán)控制程序 分開成三個安裝包發(fā)布

                        把客戶端程序和服務(wù)端程序開發(fā)制作安裝包，授權(quán)控制程序也分開制作安裝包。
                        控制客戶端 cmtk 打包
                        服務(wù)程序 cmtkd 打包
                        授權(quán)控制 cmtkclt 打包
                        比如:
                        cmtk-1.0.2-1.el5.i386.rpm   
                        cmtkctl-1.0.2-1.el5.i386.rpm   
                        cmtkd-1.0.2-1.el5.i386.rpm
               
                (2):功能變化

                        增加了文件下載的功能
                        原來的功能為單機(批量多機)執(zhí)行命令和上傳文件，這一版本增加了從遠(yuǎn)程機器下載文件的功能，批量和單機都支持
                        文件大小不超過5MB。
                        用法如下:
                        -r 指定遠(yuǎn)程要下載的文件 remote file
                        -l 指定本地存儲的文件名稱 localfile
                        實際存儲到本地的文件名稱為  localfile.hostname
                        比如:
                        cmtk -h 10.32.102.48 -r /tmp/aa.c -l /tmp/22.c
                        得到下載的文件為
                        /tmp/22.c.10.32.102.48
                        如果進(jìn)行批量操作的話，不同主機的目標(biāo)文件，按照主機名稱做后綴進(jìn)行區(qū)分

                (3):其它
                        基本用法和授權(quán)與以前版本的一致。

(4):代碼以及設(shè)計上的修改


                升級內(nèi)容
                第一:代碼容錯和實現(xiàn)細(xì)節(jié)修改

第二:安全認(rèn)證功能強化

具體細(xì)節(jié)說明
cmtkit這次升級，在功能上沒有大的變化，大多數(shù)是代碼實現(xiàn)的修改。

代碼實現(xiàn)細(xì)節(jié)修改
代碼實現(xiàn)部分的修改與功能基本無關(guān)，只因在配管系統(tǒng)的開發(fā)過程中發(fā)現(xiàn)了cmtkit在實現(xiàn)上的一些不周之處，此次升級加以修改，希望能夠增強其穩(wěn)定性和容錯能力。

安全認(rèn)證功能強化
安全認(rèn)證部分升級，變化比較多，從授權(quán)方式，到cmtkd端認(rèn)證的具體實現(xiàn)都做了較大變化。

在以前版本的cmtkit中，控制中心對客戶端的訪問權(quán)限的控制，是通過主機IP(或者主機名)來實現(xiàn)的，也就是說，在N個客戶端上，存儲著每個能夠訪問它的控制中心的IP地址，如果某個發(fā)送命令的主機地址不在授權(quán)文件中存在，就拒絕服務(wù)，不接受該控制中心發(fā)送的命令執(zhí)行和文件上傳請求。

這種安全控制策略，只能實現(xiàn)主機訪問的控制和審計，如果在主機上有不同的人登錄，去使用cmtools操作遠(yuǎn)程主機，是不能區(qū)分的，如果出現(xiàn)意外錯誤的話，問責(zé)和審計也不能夠做的很細(xì)致，因此有必要做到細(xì)化到人的安全認(rèn)證機制。

在主機認(rèn)證的基礎(chǔ)上，增加用戶名的認(rèn)證，基本上能能夠?qū)崿F(xiàn)到這一步。

修改后功能如下:

cmtkd接收到控制中心發(fā)送到命令或者文件時，會用cmtk的命令執(zhí)行者和來源主機名去做權(quán)限校驗，(以前只是用主機名做校驗)，如果校驗通過

就執(zhí)行命令或者接收文件，否則拒絕服務(wù)并反問拒絕信息。

cmtkctl授權(quán)工具的接口稍加修改，add或者del的時候，需要提供用戶名信息，也就是執(zhí)行cmtk的用戶名稱。比如cmtkctl list 查看結(jié)果如下：


cmtkctl list /etc/cmserver.lst

root@10.32.102.34(10.32.102.34 )

duanjigang@10.32.102.34(10.32.102.34)


增加或者刪除一個用戶的權(quán)限信息如下:


cmtkctl add test_user@10.32.102.33 /etc/cmserver.lst

cmtkctl del test_user@10.32.102.31 /etc/cmserver.lst


把生成的授權(quán)文件拷貝到客戶端機器上，重啟cmtkd服務(wù)，即可按照新的授權(quán)信息運行。

另外需要說明的是:

cmtk命令行工具在使用時禁止root登陸執(zhí)行或者root身份去運行，目的是為了能夠記錄執(zhí)行者的身份和登陸身份，對應(yīng)到人，方便cmtkd日志審計。

對于通過程序來自動調(diào)用cmtk執(zhí)行命令，無login信息的調(diào)用，cmtkit目前是直接放行的

duanjigang

:wink:

seufy88

支持段大。

賀蘭云天

頂！

lzqie

段兄 能集成web，然后做到分組，下發(fā)腳本就爽了！ 呵呵