运维日记|Oracle之你不知道的互信秘密 – 作者:database

某个周五的晚上,客户需要几套rac的dg环境,二话不说,美创运维中心人员立马开始配置了起来,对于rac大王来说,什么版本的rac没装过!

一开始一切都很顺利,直到安装软件开始配置用户,配置完互信,但是ssh到另一个节点的时候依然需要密码登陆!我开始慌了,难道今天要加班?

于是美创工作人员立刻开始排查,到底是什么原因导致互信完以后还是不能免密登陆,先去看下目录是否有互信文件生成。

image.png

可以看到ssh文件是生成了的,但是互信依旧不通过。

image.png

带着疑问,美创人去看了一下安装日志,发现日志并无报错。这下就有点棘手了,去查阅了相关的文档,也没有对号入座的解决方案。正当焦头烂额的时候,突然有了另一个思路,会不会是操作系统拦截了互信的通过?在一番检查之后,发现了一个特殊点,那就是互信配置目录的权限很大,是777权限。

image.png

查看另一台机器,发现情况也一样。大家都知道,目录的权限决定此目录的安全性,777也就意味着无论什么用户都可以对此目录进行读写执行操作,那么是否是linux系统认为这样的ssh的安全性不够高呢?

image.png

于是尝试去调整下目录的权限,先改成775。

image.png

还是不行,可能权限还是太大?

于是去改成755,只让oracle用户拥有写权限,即使是同组用户也不能对此目录写入。

image.png

互信竟然通过了!竟然真的如美创人所想,果然是跟互信配置目录权限有关,最大权限只能配置到755,只能让对应用户拥有写权限。

解决了互信问题之后一路通畅,chua chua chua不到1个小时就完成了安装,虽然在互信这花费了许多时间,但是get到了新知识,linux安全性还是很高的,不知道小伙伴们有没有get到新东西呢?


美创运维中心数据库服务团队拥有Oracle ACE 1人、OCM 10余人、数十名Oracle OCP、MySQL OCP、红帽RHCA、中间件weblogic、tuxedo认证、达梦工程师 ,著有《Oracle DBA实战攻略》,《Oracle数据库性能优化方法和最佳实践》,《Oracle内核技术揭秘》等多本数据运维优化书籍。目前运维各类数据库合计2000余套,精通Oracle、MySQL、SQLServer、DB2、PostgreSQL、达梦等主流商业和开源数据库。并成为首批国内达梦战略合作伙伴之一,拥有海量经验和完善的人员培养体系。并同时提供超融合,私有云整体解决方案。

来源:freebuf.com 2020-06-02 16:50:15 by: database

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论