在主机 A 和 B 之间同步用户 UID>1000 的密码哈希

在主机 A 和 B 之间同步用户 UID>1000 的密码哈希

我有两个 CentOS 系统,我想(仅)同步存储在/etc/shadow从系统 A(本地)到系统 B(远程)的密码哈希值,但仅限于 UID > 1000 且存在于两个系统上的用户(基于用户名,而不是 UID(UID 对于 A 和 B 上的同一用户名可能会有所不同)。

我无法使用 rsync 或 LDAP 或 NIS 等解决方案。我也无法触摸这些系统上 UID < 1000 的任何帐户。

由于主机 A 和 B 上的用户 UID 可能不同 - 要将密码哈希从 A 同步到 B,以下内容很重要:(1) 用户名​​必须存在于两个系统上 (2) 用户名​​的 UID 必须大于 1000(可以不同) A系统和B系统

我找到了一个很好的 perl 脚本雷诺·邦普伊斯这可能需要对我的要求进行一些调整,它不应该修改/etc/passwd/etc/group。我不是 Perl 程序员,所以我在这里寻求帮助。先感谢您。

#!/usr/bin/perl -w
use Net::SCP qw(scp);
use strict;

use constant TRUE  => (1==1);
use constant FALSE => (1==0);

#--------------------------------------------------------
# Configuration
# Modify as needed
#--------------------------------------------------------
my $remoteHost = '10.13.113.2';  # email backup server
my $minUID     = 500;
my $maxUID     = 30000;
my $minGID     = 500;
my $maxGID     = 30000;

#--------------------------------------------------------
# Internal variables, normally not to be modified.
#--------------------------------------------------------
my $systemConfigDir = '/etc';
my $tmpDir = $ENV{TMPDIR} || $ENV{TMP} || $ENV{TEMP} || '/tmp';

#--------------------------------------------------------
#  Main
#--------------------------------------------------------
# STEP 1
# Get the remote files to /tmp and
# clean them of their normal users
ProcessFiles('remote');

# STEP 2
# Append the local normal users to the temp files
# and then send them back to the remote
ProcessFiles('local');

#--------------------------------------------------------
# ProcessFiles sub does one of two things:
# - if the passed argument is 'remote', then fetch each
#   user account file from the remote server, then remove
#   all normal users from each file, only keeping the
#   system users.
# - if the passed argument is 'local', then appends all
#   normal local users to the previously fetched and
#   cleaned-up files, then copies them back to the remote.
#--------------------------------------------------------
sub ProcessFiles {
        my $which = shift;
        my $tmpfile;
        my %username = ();
        my %usergroup = ();
        my %userUID = ();
        my %userGID = ();
        my @info;
        foreach my $f ('passwd','group','shadow','gshadow') {
                my $tmpfile = "$tmpDir/$f.REMOTE";
                if ($which eq 'remote') {
                        # Fetch the remote file
                        unlink $tmpfile if -e $tmpfile;
                        scp("$remoteHost:$systemConfigDir/$f", $tmpfile)
                                or die ("Could not get '$f' from '$remoteHost'");
                }
                # Glob the file content
                open CONFIGFILE, (($which eq 'remote') ? $tmpfile : "$systemConfigDir/$f");
                my @lines = <CONFIGFILE>;
                close CONFIGFILE;
                # Open the temp file, either truncating it or in append mode
                open TMPFILE,  (($which eq 'remote') ? ">$tmpfile" : ">>$tmpfile" )
                        or die "Could not open '$tmpfile' for processing";
                foreach my $line (@lines) {
                         # Skip comments, although they should be illegal in these files
                        next if $f =~ /^\s*#/;
                        @info = (split ':', $line);
                        if ($f eq 'passwd') {
                                my $uid = $info[2];
                                my $isnormaluser = ($uid > $minUID) && ($uid < $maxUID);
                                next if (($which eq 'remote') ? $isnormaluser : !$isnormaluser);
                                $username{$info[0]} = TRUE;
                                $userUID{$uid} = TRUE;
                                $userGID{$info[3]} = TRUE;
                        } elsif ($f eq 'group') {
                                my $gid = $info[2];
                                my $isnormalgroup = ($gid > $minGID) && ($gid < $maxGID);
                                next if (($which eq 'remote') ? $isnormalgroup : !$isnormalgroup);
                                $usergroup{$info[0]} = TRUE;
                        } elsif ($f eq 'shadow') {
                                next if !exists $username{$info[0]};
                        } else {
                                next if !exists $usergroup{$info[0]};
                        }
                        # Any line that reaches this point is valid
                        print TMPFILE $line;
                }
                close TMPFILE;
                if ($which eq 'local') {
                        # send the file back
                        scp($tmpfile, "$remoteHost:$systemConfigDir/$f") or
                                die ("Could not send '$f' to '$remoteHost'");
                        unlink $tmpfile;
                }
        }
}

#--------------------------------------------------------
# Make sure we cleanup the temp files when we exit
#--------------------------------------------------------
END {
        my $tmpfile;
        foreach my $f ('passwd','group','shadow','gshadow') {
                $tmpfile = "$tmpDir/$f.REMOTE";
                unlink $tmpfile if -e $tmpfile;
        }
}

答案1

基于@roaiama对该join命令的使用,这个答案用于getent获取passwd和shadow文件,而不是直接读取它们,然后chpasswd在远程主机上使用来更改密码。

由于 ,密码更改代码更简单chpasswd,但制作旧影子条目的备份副本有点复杂,因为我们getent shadow也在远程主机上使用。

join -t : -j 1 -o 2.{1..2} \
    <(getent passwd | awk -F: '$3 > 1000 {print $1}' | sort) \
    <(getent shadow | sort) | 
  ssh remotehost 'umask 0027 &&
    getent shadow > /etc/shadow.old &&
    chgrp shadow /etc/shadow.old &&
    chpasswd -e 2>/dev/null'

它仅将前两个字段,即用户名和加密密码(输出格式是每行一个“用户名:密码”对)传输到 ssh 中。制作旧影子文件的备份副本后,远程 shell 运行chpasswd以更改标准输入上指定的密码。

-e选项表明chpasswd密码已经加密。如果没有该选项,它将重新加密提供的密码。

chpasswd将在 stderr 上抱怨远程系统上不存在的任何用户名,但仍会更改确实存在的用户名的密码。 chpasswd的 stderr 可以重定向到 /dev/null,如我上面所示。

注意:最好将 stderr 通过管道传输到脚本中,该脚本仅删除预期且无害的“用户名不存在”错误,同时仍显示其他错误。在我的测试虚拟机上,不存在的用户输出的错误chpasswd如下所示:

# printf '%s\n' "foo:bar" "xyzzy:fool" | chpasswd
chpasswd: (user foo) pam_chauthtok() failed, error:
Authentication token manipulation error
chpasswd: (line 1, user foo) password not changed
chpasswd: (user xyzzy) pam_chauthtok() failed, error:
Authentication token manipulation error
chpasswd: (line 2, user xyzzy) password not changed

答案2

这会将两个系统上存在的 UID > 1000 的所有用户帐户的条目/etc/shadow从本地系统同步到远程系统(此处称为):remotehost

getent passwd |
    awk -F: '$3>1000 {print $1}' |
    sort |
    join -t : -j 1 -o 2.{1..9} - <(getent shadow | sort) |
    ssh remotehost '
        cp -fp /etc/shadow /etc/shadow.old &&
        join -t : -j 1 -o 1.{1..9} - <(getent shadow | sort) |
            awk -F: "!h[\$1]++" - /etc/shadow >/etc/shadow.new &&
        : cp -f /etc/shadow.new /etc/shadow
    '

我强烈建议您将命令分成几部分,以查看它在管道的每个阶段执行的操作,并且不要从最后一行删除无操作冒号,: cp直到您确信它按预期工作。

本质上

  1. /etc/passwd从UID > 1000中提取用户名列表
  2. 使用此列表从中提取相应的行/etc/shadow
  3. 复制到远程系统
  4. 写出shadow当前列表中存在的新列表的成员/etc/shadow
  5. 写出/etc/shadow用户名尚未输出的旧行
  6. 保存原件和新副本shadow(在已知地点,以便需要时进行紧急救援)
  7. 将生成的合并文件安装为/etc/shadow

相关内容