运维日记|Oracle之你不知道的互信秘密 – 作者:database

某个周五的晚上，客户需要几套rac的dg环境，二话不说，美创运维中心人员立马开始配置了起来，对于rac大王来说，什么版本的rac没装过！

一开始一切都很顺利，直到安装软件开始配置用户，配置完互信，但是ssh到另一个节点的时候依然需要密码登陆！我开始慌了，难道今天要加班？

于是美创工作人员立刻开始排查，到底是什么原因导致互信完以后还是不能免密登陆，先去看下目录是否有互信文件生成。

可以看到ssh文件是生成了的，但是互信依旧不通过。

带着疑问，美创人去看了一下安装日志，发现日志并无报错。这下就有点棘手了，去查阅了相关的文档，也没有对号入座的解决方案。正当焦头烂额的时候，突然有了另一个思路，会不会是操作系统拦截了互信的通过？在一番检查之后，发现了一个特殊点，那就是互信配置目录的权限很大，是777权限。

查看另一台机器，发现情况也一样。大家都知道，目录的权限决定此目录的安全性，777也就意味着无论什么用户都可以对此目录进行读写执行操作，那么是否是linux系统认为这样的ssh的安全性不够高呢？

于是尝试去调整下目录的权限，先改成775。

还是不行，可能权限还是太大？

于是去改成755，只让oracle用户拥有写权限，即使是同组用户也不能对此目录写入。

互信竟然通过了！竟然真的如美创人所想，果然是跟互信配置目录权限有关，最大权限只能配置到755，只能让对应用户拥有写权限。

解决了互信问题之后一路通畅，chua chua chua不到1个小时就完成了安装，虽然在互信这花费了许多时间，但是get到了新知识，linux安全性还是很高的，不知道小伙伴们有没有get到新东西呢？

美创运维中心数据库服务团队拥有Oracle ACE 1人、OCM 10余人、数十名Oracle OCP、MySQL OCP、红帽RHCA、中间件weblogic、tuxedo认证、达梦工程师 ，著有《Oracle DBA实战攻略》，《Oracle数据库性能优化方法和最佳实践》，《Oracle内核技术揭秘》等多本数据运维优化书籍。目前运维各类数据库合计2000余套，精通Oracle、MySQL、SQLServer、DB2、PostgreSQL、达梦等主流商业和开源数据库。并成为首批国内达梦战略合作伙伴之一，拥有海量经验和完善的人员培养体系。并同时提供超融合，私有云整体解决方案。

来源：freebuf.com 2020-06-02 16:50:15 by: database