案例分析:

在KingbaseES V8R6数据库在不支持ssh连接的系统环境,可以通过securecmdd服务建立主机之间的通讯,默认securecmdd服务建立用户之间的互信,通过publickey认证建立访问连接。在配置securecmdd服务后,默认kingbase和root用户都可以通过publickey建立连接。本案例描述了在建立root用户的连接时,出现‘permission denied’错误的解决方法。

适用版本:

KingbaseES V8R6

一、问题现象

用户在执行sys_backup.sh init时,出现以下故障:

  执行建立主机连接的securecmd的执行语句,出现‘permission denied’错误。

二、问题分析

1、查看securecmdd服务目录和文件

securecmdd服务在部署和配置后,将建立以下的目录和文件:

# 目录属主和权限

[root@node102 ~]# ls -lhd /etc/.kes

drwxr-xr-x. 3 root root 65 Aug 10  2022 /etc/.kes

[root@node102 ~]# ls -lhd /root/.es

drwx------. 2 root root 40 Sep 28  2022 /root/.es

[root@node102 ~]# ls -lhd /home/kingbase/.es

drwx------. 2 kingbase kingbase 40 Sep 28  2022 /home/kingbase/.es

[root@node102 ~]# ls -lhd /root

dr-xr-x---. 10 root root 4.0K Apr  3 10:15 /root

[root@node102 ~]# ls -lhd /home/kingbase

drwx------. 31 kingbase kingbase 4.0K Apr  3 10:15 /home/kingbase

# 文件属主和权限

[root@node102 ~]# ls -lh /etc/.kes

total 8.0K

drwxr-xr-x. 2 root root   6 Mar 29  2022 empty

-rwxr-xr-x  1 root root 315 Aug 10  2022 securecmd_config

-rwxr-xr-x  1 root root 603 Aug 10  2022 securecmdd_config

[root@node102 ~]# ls -lh /root/.es

total 8.0K

-rw------- 1 root root  381 Sep 28  2022 accept_hosts

-rw------- 1 root root 1.7K Sep 28  2022 key_file

[root@node102 ~]# ls -lh /home/kingbase/.es

total 8.0K

-rw------- 1 kingbase kingbase  381 Sep 28  2022 accept_hosts

-rw------- 1 kingbase kingbase 1.7K Sep 28  2022 key_file

---如果以上目录和文件的权限出现问题,将在建立securecmd连接时会出现此类故障。

2、分析securecmd连接

如下图所示,分析securecmd连接过程,在建立publickey认证后,读取key_file私钥文件无响应,转为password认证,但输入root用户密码后,报’permission denied‘错误。

3、建立securecmdd服务debug分析

1)以debug方式启动securecmdd服务

[root@node101 ~]# /home/kingbase/cluster/R6HA/kha/kingbase/bin/sys_securecmdd -D -ddd

debug2: load_server_config: filename /etc/.kes/securecmdd_config

debug2: load_server_config: done config len = 560

debug2: parse_server_config_depth: config /etc/.kes/securecmdd_config len 560

debug3: /etc/.kes/securecmdd_config:1 setting Port 8899

debug3: /etc/.kes/securecmdd_config:3 setting HostKey ~/.es/key_file

debug3: /etc/.kes/securecmdd_config:4 setting AuthorizedKeysFile .es/accept_hosts

debug3: /etc/.kes/securecmdd_config:5 setting PidFile /var/run/sys_securecmdd.pid

......

debug2: fd 3 setting O_NONBLOCK

debug1: Bind to port 8899 on 0.0.0.0.

Server listening on 0.0.0.0 port 8899.

2)客户端建立连接

[root@node101 ~]#  /home/kingbase/cluster/R6HA/kha/kingbase/bin/sys_securecmd root@127.0.0.1 'date'

root@127.0.0.1's password:

3)查看连接debug信息

如下图所示,出现/root的属主或权限错误:

4)检查/root的属主

如下图所示,/root的属主竟然是kingbase !!!

三、问题解决

将/root的属主改为root.root后,问题解决。

四、权限错误案例

1、修改/root目录为777(默认550)

[root@node101 bin]# ls -lhd /root

drwxrwxrwx. 26 root root 4.0K Apr  3 11:51 /root

2、故障现象

[kingbase@node101 bin]$ ./sys_securecmd -vv root@127.0.0.1  'date'

OpenSSH_8.6p1, OpenSSL 1.0.2k  26 Jan 2017

debug2: resolve_canonicalize: hostname 127.0.0.1 is address

......

debug1: Authentications that can continue: publickey,password

debug1: Next authentication method: publickey

debug1: Offering public key: /home/kingbase/.ssh/id_rsa RSA SHA256:bDj4e2SR8hakpiI5ADaqqiYuh7KzknAD2hWbPGBRtUg

debug2: we sent a publickey packet, wait for reply

debug1: Authentications that can continue: publickey,password

......

debug2: we did not send a packet, disable method

debug1: Next authentication method: password

root@127.0.0.1's password:

debug2: we sent a password packet, wait for reply

debug1: Authentications that can continue: publickey,password

Permission denied, please try again.

root@127.0.0.1's password:

---如上所示,出现publickey连接的认证错误。

3、查看securecmd连接debug信息

如下图所示,debug信息出现/root属主或权限错误。

五、总结

对于securecmdd服务,在建立用户的publickey的认证访问后,经常会出现用户访问需要password认证或‘ permission denied’等故障问题。当出现类似问题,重点查看securecmdd相关目录和文件的权限及属主,以及kingbase和root用户宿主目录的权限和属主。

KingbaseES V8R6 数据库运维案例之 -- root用户securecmd连接'Permission denied'错误的更多相关文章

  1. 数据库运维之路——关于tempdb暴增实战案例

    转眼间,2021年的第一个季度已经到了最后一个月了,由于疫情原因,最近一段时间一直在北京,基本上没有出差,每天上班下班的日子感觉时间过的好快,新的一年继续努力奋斗啊. 仔细回想一下,自己踏入到sql ...

  2. MySQL数据库运维课程

    MySQL数据库运维课程 http://www.dataguru.cn/article-4834-1.html?union_site=comm100 课程大纲 第一课:机器选型.系统规划 第二课:安装 ...

  3. 一个兼职DBA的数据库运维经验 小米科技 xx@xiaomi.com 2011

    一个兼职DBA的数据库运维经验 小米科技  xx@xiaomi.com 2011 内存扩容 16G->64G ,调大bp后,凌晨说监控物理内存有余量情况下,开吃swap,内存泄露措施1  定时 ...

  4. 数栈运维实例:Oracle数据库运维场景下,智能运维如何落地生根?

    从马车到汽车是为了提升运输效率,而随着时代的发展,如今我们又希望用自动驾驶把驾驶员从开车这项体力劳动中解放出来,增加运行效率,同时也可减少交通事故发生率,这也是企业对于智能运维的诉求. 从人工运维到自 ...

  5. Linux运维人员共用root帐户权限审计

    Linux运维人员共用root帐户权限审计 2016-11-02 运维部落 一.应用场景 在中小型企业,公司不同运维人员基本都是以root 账户进行服务器的登陆管理,缺少了账户权限审计制度.不出问题还 ...

  6. Oracle数据库运维优化六脉神剑口诀

    我们知道数据库性能是数据库运维中至关重要的一个部分,据传在Oracle数据库的江湖中也有威力无比的六脉神剑技能,下面与大家免费分享Oracle大师们广为流传的六脉神剑口诀,一般人我不告诉他哦:) 少商 ...

  7. MySQL数据库运维的五大指标

    如何评价一个公司数据库运维水平的高低?用什么来进行横向与纵向对比?自动化平台建设的目标是什么?必须有相应的指标体系来指导,此指标体系必须满足以下条件: • 可以用数字来测算和衡量 • 最终指标,而不是 ...

  8. PG数据库运维工具要覆盖哪些能力

    目前的国产数据库中,很多产品都是以PG社区版代码作为研发起点的,还有一些产品是基于openGauss开源项目的.这些数据库的基础特性都和社区版的PG数据库类似,不过也做了一定的拓展.不过从使用与运维上 ...

  9. KingbaseES V8R6集群管理运维案例之---repmgr standby switchover故障

    案例说明: 在KingbaseES V8R6集群备库执行"repmgr standby switchover"时,切换失败,并且在执行过程中,伴随着"repmr stan ...

  10. KingbaseES V8R6集群运维案例之---repmgr standby promote应用案例

    案例说明: 在容灾环境中,跨区域部署的异地备节点不会自主提升为主节点,在主节点发生故障或者人为需要切换时需要手动执行切换操作.若主节点已经失效,希望将异地备机提升为主节点. $bin/repmgr s ...

随机推荐

  1. IDEA从o开始的一系列操作及修改配置-快捷键汇总

    IDEA从o开始的一系列操作及修改配置-快捷键汇总 下载IDEA 启动idea 安装svn插件 功能快捷键 先设置提示快捷键(纯属个人喜好) 入门快捷键 查找 编辑 小功能 自动代码提示 自动导包 T ...

  2. [技术选型与调研] 流程引擎(工作流引擎|BPM引擎):Activiti、Flowable、Camunda

    1 概述:流程与流程引擎 低代码平台.办公自动化(OA).BPM平台.工作流系统均需要[流程引擎]功能 BPM平台与工作流系统的区别,参见本文档:3.2 章节 流程引擎是任务分配软件(例如业务流程管理 ...

  3. LVM精简卷(Thinly-Provisioned Logical Volumes)

    可能LVM大家都比较熟悉,那么精简卷又是干什么的呢?相比于普通LVM有什么优势,又会带来哪些新的问题?带着这些我们来一探究竟: 工作原理 在创建Thin"瘦"卷时,预分配一个虚拟的 ...

  4. ASCII编码的影响与作用:数字化时代的不可或缺之物

    一.ASCII编码的起源 ASCII(American Standard Code for Information Interchange)编码是一种最早用于将字符转换为数字的编码系统.它诞生于20世 ...

  5. JSON排除指定字段的4种方法

    转自:https://blog.csdn.net/Sn_Keys/article/details/122443407

  6. pigz命令

    多线程的解压缩文件 语法格式:pigz 参数 文件名 常用参数 -- 显示压缩后的内容 -p 设置线程数 -b 设置文件数据块大小 -q 静默执行模式 -d 将压缩文件恢复为原始文件 -r 递归处理所 ...

  7. timeit测试函数执行时间

    def list_append(): l = [] for i in range(5000): l.append(i) def list_insert(): l = [] for i in range ...

  8. RabbitMQ和RPC

    消息队列 消息队列中间件 (Message Queue Middleware,简称 MQ) 是指利用高效可靠的消息传递机制进行与平台无关的数据交流,它可以在分布式环境下扩展进程间的数据通信,并基于数据 ...

  9. 【Azure 环境】自动化账号生成的时候怎么生成连接与证书

    问题描述 自动化账号生成的时候怎么生成连接与证书? 什么是自动化? Azure 自动化提供基于云的自动化和配置服务,用于支持 Azure 环境和非 Azure 环境之间的一致管理. Azure 自动化 ...

  10. .NET 全能 Cron 表达式解析库(支持 Cron 所有特性)

    前言 今天大姚给大家分享一个.NET 全能 Cron 表达式解析类库,支持 Cron 所有特性:TimeCrontab. Cron表达式介绍 Cron表达式是一种用于配置定时任务的时间表达式.它由一系 ...