Linux主机之间权限访问与开通


近段时间,在测试和部署 Greenplum集群,在集群一开始部署的时候,以及后面测试的一些高可用功能时,都涉及到的Linux主机之间的访问权限问题。
在排查好这写问题后,有必要进行一下访问权限的梳理和总结,以便以后避免这个问题。

对于Linux主机而言,主机之间的访问,主要涉及几个问题: IP地址,ssh协议,selinux限制,iptables防火墙,/etc/hosts.allow 服务器限制。
这几个方面相互关联,其中又以ssh协议是核心和关联:
ssh 协议决定了服务器连接的端口,默认为22端口,可以进行修改,也可以添加多个端口;
ssh 协议端口与IP地址进行配合,是客户端连接服务器的硬件地址,再加上用户名和密码的授权,就可以控制用户对远程主机的访问了;
selinux的限制,一般都是直接关闭的;
iptables 防火墙配置可以对进入或者输出的IP地址、端口进行访问限制,在测试环境中,有些人为了方便,会将iptables关闭,避免网络方面的干扰,但实际生产环境,这个是必须要开的;
/etc/hosts.allow 服务器限制也是非常重要的,它是从服务器和用户角度进行的访问限制。


selinux服务设置
对于selinux服务,一般都是直接禁用的,在其配置文件中直接修改:
vim /etc/selinux/config    修改为如下内容:

SELINUX=disabled


IP地址设置
对于IP地址来说,一方面是涉及 /etc/sysconfig/network-scripts/ifcfg-eth0 网卡的配置,一方面是涉及/etc/hosts IP与主机的解析,/etc/sysconfig/network 主机名设置:
这个涉及的内容为:
vim   /etc/sysconfig/network-scripts/ifcfg-eth0

service network restart


vim /etc/sysconfig/network
hostname


vim /etc/hosts



sshd服务设置
对于sshd服务,一方面是配置的密码和密钥问题,另一方面是sshd的配置文件,主要是端口问题:
vim /etc/ssh/sshd_config


# default value.
Port 22
Port 22000

重启服务器与验证:
/etc/init.d/sshd restart
 netstat -ntlp | grep sshd


iptables防火墙设置
iptables 防火墙主要是在 /etc/sysconfig/iptables 配置文件中,添加相关策略,对于一个集群的几个主机来说,添加所有端口都可以相互访问的方法如下,集群有四台服务器需要相互访问,配置文件添加:
vim /etc/sysconfig/iptables 

-A INPUT -p all -s 192.168.0.201      -j ACCEPT
-A INPUT -p all -s 192.168.0.202      -j ACCEPT
-A INPUT -p all -s 192.168.0.203      -j ACCEPT
-A INPUT -p all -s 192.168.0.200      -j ACCEPT


-A OUTPUT -p all -s 192.168.0.201      -j ACCEPT
-A OUTPUT -p all -s 192.168.0.202      -j ACCEPT
-A OUTPUT -p all -s 192.168.0.203      -j ACCEPT
-A OUTPUT -p all -s 192.168.0.200      -j ACCEPT


重启服务器与验证:
service iptables rstart
iptables -L -n


/etc/hosts.allow服务器访问限制
/etc/hosts.allow服务器限制内容如下:
vim /etc/hosts.allow


ALL:192.168.0.0/255.255.255.0
sshd:ALL


重启服务器与验证:
/etc/rc.d/init.d/xinetd restart
/etc/rc.d/init.d/network restart


注意:/etc/hosts.allow 配置文件中  ALL:192.168.0.0/255.255.255.0配置,并不能代替下面的配置,之前系统中有上面一行,可以正常初始化完成,但在安装Greenplum master standby和 segment mirror时都会报错, 加入后面的 sshd:ALL 后,这两个操作才正常执行完成。



通过以上几个方面的配置与设置,就可以保证一个集群内部几个节点主机之间的相互访问和连通性了。




你可能感兴趣的:(Linux主机之间权限访问与开通)