KingbaseES V8R6 数据库运维案例之 -- root用户securecmd连接'Permission denied'错误

news2024/12/24 21:22:08

案例分析:
在KingbaseES V8R6数据库在不支持ssh连接的系统环境,可以通过securecmdd服务建立主机之间的通讯,默认securecmdd服务建立用户之间的互信,通过publickey认证建立访问连接。在配置securecmdd服务后,默认kingbase和root用户都可以通过publickey建立连接。本案例描述了在建立root用户的连接时,出现‘permission denied’错误的解决方法。

适用版本:

KingbaseES V8R6

一、问题现象
用户在执行sys_backup.sh init时,出现以下故障:

执行建立主机连接的securecmd的执行语句,出现‘permission denied’错误。

二、问题分析1、查看securecmdd服务目录和文件

securecmdd服务在部署和配置后,将建立以下的目录和文件:

# 目录属主和权限
[root@node102 ~]# ls -lhd /etc/.kes
drwxr-xr-x. 3 root root 65 Aug 10  2022 /etc/.kes
[root@node102 ~]# ls -lhd /root/.es
drwx------. 2 root root 40 Sep 28  2022 /root/.es
[root@node102 ~]# ls -lhd /home/kingbase/.es
drwx------. 2 kingbase kingbase 40 Sep 28  2022 /home/kingbase/.es
[root@node102 ~]# ls -lhd /root
dr-xr-x---. 10 root root 4.0K Apr  3 10:15 /root
[root@node102 ~]# ls -lhd /home/kingbase
drwx------. 31 kingbase kingbase 4.0K Apr  3 10:15 /home/kingbase

# 文件属主和权限
[root@node102 ~]# ls -lh /etc/.kes
total 8.0K
drwxr-xr-x. 2 root root   6 Mar 29  2022 empty
-rwxr-xr-x  1 root root 315 Aug 10  2022 securecmd_config
-rwxr-xr-x  1 root root 603 Aug 10  2022 securecmdd_config
[root@node102 ~]# ls -lh /root/.es
total 8.0K
-rw------- 1 root root  381 Sep 28  2022 accept_hosts
-rw------- 1 root root 1.7K Sep 28  2022 key_file
[root@node102 ~]# ls -lh /home/kingbase/.es
total 8.0K
-rw------- 1 kingbase kingbase  381 Sep 28  2022 accept_hosts
-rw------- 1 kingbase kingbase 1.7K Sep 28  2022 key_file

---如果以上目录和文件的权限出现问题,将在建立securecmd连接时会出现此类故障。

2、分析securecmd连接

如下图所示,分析securecmd连接过程,在建立publickey认证后,读取key_file私钥文件无响应,转为password认证,但输入root用户密码后,报’permission denied‘错误。

3、建立securecmdd服务debug分析1)以debug方式启动securecmdd服务

[root@node101 ~]# /home/kingbase/cluster/R6HA/kha/kingbase/bin/sys_securecmdd -D -ddd
debug2: load_server_config: filename /etc/.kes/securecmdd_config
debug2: load_server_config: done config len = 560
debug2: parse_server_config_depth: config /etc/.kes/securecmdd_config len 560
debug3: /etc/.kes/securecmdd_config:1 setting Port 8899
debug3: /etc/.kes/securecmdd_config:3 setting HostKey ~/.es/key_file
debug3: /etc/.kes/securecmdd_config:4 setting AuthorizedKeysFile .es/accept_hosts
debug3: /etc/.kes/securecmdd_config:5 setting PidFile /var/run/sys_securecmdd.pid
......
debug2: fd 3 setting O_NONBLOCK
debug1: Bind to port 8899 on 0.0.0.0.
Server listening on 0.0.0.0 port 8899.

2)客户端建立连接

[root@node101 ~]#  /home/kingbase/cluster/R6HA/kha/kingbase/bin/sys_securecmd root@127.0.0.1 'date'
root@127.0.0.1's password:

3)查看连接debug信息
如下图所示,出现/root的属主或权限错误:

4)检查/root的属主
如下图所示,/root的属主竟然是kingbase !!!

三、问题解决
将/root的属主改为root.root后,问题解决。

四、权限错误案例1、修改/root目录为777(默认550)

[root@node101 bin]# ls -lhd /root
drwxrwxrwx. 26 root root 4.0K Apr  3 11:51 /root

2、故障现象

[kingbase@node101 bin]$ ./sys_securecmd -vv root@127.0.0.1  'date'
OpenSSH_8.6p1, OpenSSL 1.0.2k  26 Jan 2017
debug2: resolve_canonicalize: hostname 127.0.0.1 is address
......
debug1: Authentications that can continue: publickey,password
debug1: Next authentication method: publickey
debug1: Offering public key: /home/kingbase/.ssh/id_rsa RSA SHA256:bDj4e2SR8hakpiI5ADaqqiYuh7KzknAD2hWbPGBRtUg
debug2: we sent a publickey packet, wait for reply
debug1: Authentications that can continue: publickey,password
......
debug2: we did not send a packet, disable method
debug1: Next authentication method: password
root@127.0.0.1's password:
debug2: we sent a password packet, wait for reply
debug1: Authentications that can continue: publickey,password
Permission denied, please try again.
root@127.0.0.1's password:
    
---如上所示,出现publickey连接的认证错误。

3、查看securecmd连接debug信息

如下图所示,debug信息出现/root属主或权限错误。

五、总结
对于securecmdd服务,在建立用户的publickey的认证访问后,经常会出现用户访问需要password认证或‘ permission denied’等故障问题。当出现类似问题,重点查看securecmdd相关目录和文件的权限及属主,以及kingbase和root用户宿主目录的权限和属主。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/546937.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

JavaScript实现计算1-100之间不能被7整除的数的和的代码

以下为实现计算1-100之间不能被7整除的数的和的程序代码和运行截图 目录 前言 一、实现计算1-100之间不能被7整除的数的和 1.1 运行流程及思想 1.2 代码段 1.3 JavaScript语句代码 1.4 运行截图 前言 1.若有选择,您可以在目录里进行快速查找; 2.…

【JavaWeb】--06.Filter、Listener、Ajax、Vue

文章目录 Filter1.概述2.快速入门2.1 开发步骤2.2 代码演示 3.Filter执行流程4. Filter拦截路径配置5.过滤器链5.1 概述5.2 代码演示5.3 问题 Listener1.概述2. 分类3.代码演示 Ajax1.概述1.1作用1.2 同步和异步 2.快速入门2.1 服务端实现2.2 客户端实现2.3 测试 3.axios3.1 基…

MVC 三层架构案例详细讲解

MVC 三层架构案例详细讲解 文章目录 MVC 三层架构案例详细讲解每博一文案1. MVC 概述2. MVC设计思想3. 三层架构4. MVC 与 三层架构的关系:5. 案例举例:用户账户转账5.1 M(Model :数据/业务处理层)5.2 C (Controller :…

软件测试实验:Web应用测试

目录 前言Web应用的特点实验目的实验内容实验要求实验过程系统测试用例系统测试执行记录系统测试缺陷报告 总结 前言 软件质量保证与测试技术实验是一门旨在培养学生掌握软件测试的基本理论和方法的课程。本实验主要涉及Web应用测试,包括以下几个方面:一…

Scala初学者指南

本文已收录至Github,推荐阅读 👉 Java随想录 文章目录 Scala跟Java的区别和联系Scala安装Scala中的数据类型Scala语法val和var泛型包导入包对象特质运算符传名参数implicitObject和Class样例类_(下划线)println集合ListMapRange 迭代器Tuple提取器对象流…

代码随想录 哈希表 Java

文章目录 (简单)242.有效的字母异位词(简单)383. 赎金信(中等)49. 字母异位词分组(*中等)438. 找到字符串中所有字母异位词(简单)349. 两个数组的交集&#x…

CyberLink的专业视频编辑软件ActionDirector Ultra 3.0版本在win10系统的下载与安装配置教程

目录 前言一、ActionDirector Ultra安装二、使用配置总结 前言 ActionDirector Ultra是CyberLink公司开发的专业视频编辑软件,旨在帮助用户创作高质量的运动和冒险视频。该工具提供了一些先进的特效和编辑工具,让用户能够轻松地剪辑、修剪、调整颜色和添…

队列实现栈(你看我讲的是不是最细的就完了)

最伟大的成就往往起源于最强烈的热情。 -- 诺曼文森特皮尔目录 🗼一.队列实现栈 🍅二.使用两个队列来模拟实现栈 🍋1.栈结构体包含两个队列 🍒2.创建一个结构体的指针 🍂3.myStackPush入栈操…

【小沐学Python】Python实现Web图表功能(ECharts.js,Flask)

🎈🎈🎈Python实现Web图表功能系列:🎈🎈🎈1🎈【Web开发】Python实现Web图表功能(D-Tale入门)🎈2🎈【Web开发】Python实现Web图表功能&a…

编程不头秃,Google「AI程序员」来了,聊天就能敲代码

上周 Google 在 I/O 大会宣布了一个能够辅助编程的聊天机器人 Codey,现在它终于上线 Google Colab 啦! 🌟 Codey 是基于 Google 目前最新的大语言模型 PaLM 2 运行,有着强大的语言理解和编程能力。 Codey 有这些功能&#xff1…

【k8s】【ELK】【三】Sidecar容器运行日志Agent

1、日志收集场景分析与说明 对于那些能够将日志输出到本地文件的Pod,我们可以使用Sidecar模式方式运行一个日志采集Agent,对其进行单独收集日志1、首先需要将Pod中的业务容器日志输出至本地文件,而后运行一个Filebeat边车容器,采…

chatgpt赋能Python-python3_绝对值

Python3中的绝对值 在本文中,我们将深入了解Python3中的绝对值(Absolute Value)以及如何在Python3中使用它。 我将介绍Python3的abs函数,它是一个内置函数,用于计算数字的绝对值。 什么是绝对值? 在数学…

详解MySQL主从复制

目录 1.概述 2.配置使用 2.1.master配置 2.2.slave配置 2.3.认主 2.4.确认认主结果 3.请求分发 3.1.概述 3.2.手动分发 3.2.1.原生JDBC 3.2.2.数据源 3.2.3.中间件 1.概述 在实际的数据密集型应用中,数据库层面往往呈现两个特点: 单点数据…

VONR排查指导分享

不能注册或呼叫到SIP服务器端30秒挂断呼叫的黄金法则咬线或摘机状态单通或无语音收到400 bad request收到413,513 Request Entity Too Large或Message Too Large消息收到408, 480或者487 消息483 - Too Many Hops488 – Not Acceptable Here语音质量和思…

chatgpt赋能Python-python3_9怎么安装

Python 3.9:安装指南 如果你正在学习编程或者已经是一名程序员,那么一定会了解到Python这个编程语言。Python是一种高级编程语言,其强大的设计特点和易于操作的特性使其成为了开发人员的首选。Python 3.9已经发布了,它虽然不是Py…

CSDN官方创作助手InsCode AI 教你分分钟搞定一篇好文章

CSDN官方推出创作助手InsCode AI很多天了,有心人都能发现,在写作界面的右上角多了一个创作助手的浮动按钮,点击后出现如下界面: 现阶段是“限免”状态,不好好利用它来创作,就有点辜负CSDN官方大佬们的良苦用…

【王道·计算机网络】第五章 传输层【未完】

一、传输层概述 传输层为应用层提供通信服务,使用网络层服务传输层的功能: 提供进程和进程之间的逻辑通信(网络层提供主机之间的逻辑通信)复用(发送发不同的应用进程)和分用(接收方正确的数据传…

Primer C++(第三章)

补码、原码和反码 正数的原码、反码、补码都相同 负数的补码:1、正数的原码符号位由0变1 (负数的原码) 2、对负数的原码除符号位外每位取反 (负数的反码) 3、对负数的反码末尾1 (负数的补码) …

众位力量汇集《永恒之塔私服》新版龙战前传

盛大游戏《永恒之塔》从万众翘首企盼中登陆国服到现在,已经过去了一年有余。在前不久前更新的周年庆版本“云上的召唤”中,精灵星的宝宝终于可以和精灵星一起翱翔在天际了…… “云上的召唤”我们还没有体验够,全新版本“龙战前传”已然于7月…

【观察】从业界首款“空间穿越屏”,看华为全屋智能的进化与重构

这个时代,“家”的构成不再是简单的一家三口,客厅、厨房、卧室也不再只是承担某个单一功能或场景的空间。 无数身在异乡打拼的青年,开始向往一个专属的独立空间;那些奔波劳碌的中年夫妻,在为家人创造更好生活环境的同时…