SSH 互信被破坏能导致 RAC 异常关闭吗
一、 SSH 互信和 RAC 的关系
1、SSH 互信对 RAC 的作用
Oracle 11g R2 在安装 Grid Infrastructure 的时候,能够通过安装程序配置节
点间的 SSH 用户等效性,之所以要在安装之前配置 SSH 用户等效性,是为了能
够在安装前使用 CVU 工具来检查安装软件的要求是否满足。 CVU 检查需要由非
root 用户来执行,如果执行 Clusterware 和 ASM 的检查就用 grid 用户执行检查
的命令,如果执行 Database 的检查就用 oracle 用户来执行检查的命令。
2、SSH 互信算法
SSH 互信可以使用两种加密算法: RSA 和 DSA 。其中 RSA 是 SSH 1.5 中的加
密算法, DSA 是 SSH 2.0 的默认加密算法。所有 SSH 有关密匙的配置文件都放在
$HOME/.ssh 目录下,其中 RSA 的公匙存放在 id_rsa.pub 中,私匙存放在 id_rsa
中; DSA 的公匙存放在 id_dsa.pub 中,私匙存放在 id_dsa 中。
如 果 将 所 有 节 点 生 成 的 公 匙 都 存 放 在
rhel1
节点的
$HOME/.ssh/authorized_keys 文件中,那么通过 rhel1 执行节点间的拷贝或执行
shell 脚本都不需要输入密码进行确认。原理是:每个节点用户都有属于自己的公
匙和私匙,节点在发送数据到其他节点之前使用私匙进行加密,然后将数据发送
到其他节点;使用私匙加密必然使用公匙解密,反之使用公匙加密,必然使用私
匙解密。如果其他节点保存了发送节点的公匙,那么自然就可以在不输入密码的 情况下解密。
3、SSH 对 RAC 搭建的影响
用户等效性的创建只需要在软件安装的时候使用, Oracle 安装过程中会利用
SSH 提供的 scp 工具拷贝安装文件到远程节点服务器,利用 SSH 提供的 ssh 工具
执行相应的 shell 脚本,达到只在一个节点安装即可部署 RAC 的目的,所以,在
安装之前只需要配置安装节点到所有节点的用户有效性即可。当然,为了方便也
可以配置所有节点用户相互之间的等效性。
二、测试库 ORCL 启动
1、检查集群状态
$ crsctl status res -t
-------------------------------------------------------------------------------
-
NAME TARGET STATE SERVER STATE_DETAILS
-------------------------------------------------------------------------------
-
Local Resources
-------------------------------------------------------------------------------
-
ora.ACFSDG.dg
ONLINE ONLINE orcla
ONLINE ONLINE orclb
ora.DATADG.dg
ONLINE ONLINE orcla
ONLINE ONLINE orclb
ora.LISTENER.lsnr
ONLINE ONLINE orcla
ONLINE ONLINE orclb
ora.OCRDG.dg
ONLINE ONLINE orcla
ONLINE ONLINE orclb
ora.asm
ONLINE ONLINE orcla Started
ONLINE ONLINE orclb Started
ora.gsd
OFFLINE OFFLINE orcla
OFFLINE OFFLINE orclb
ora.net1.network
ONLINE ONLINE orcla
ONLINE ONLINE orclb
ora.ons
ONLINE ONLINE orcla
ONLINE ONLINE orclb
ora.registry.acfs
ONLINE ONLINE orcla
ONLINE ONLINE orclb
ora.LISTENER_SCAN1.lsnr
1 ONLINE ONLINE orcla
ora.cvu
1 ONLINE ONLINE orcla
ora.oc4j
1 ONLINE ONLINE orcla
ora.orcl.db
1 ONLINE ONLINE orcla Open
2 ONLINE ONLINE orclb Open
ora.orcl.sf_orcl.svc
1 ONLINE ONLINE orclb
ora.orcla.vip
1 ONLINE ONLINE orcla
ora.orclb.vip
1 ONLINE ONLINE orclb
ora.scan1.vip
1 ONLINE ONLINE orcla
2、检查 Oracle 用户的互信
[oracle@orcla:/home/oracle]$ id
uid=1101(oracle)
gid=1000(oinstall)
groups=1000(oinstall),1201(asmdba),1300(dba),1301(oper)
[oracle@orclb:/home/oracle]$ id
uid=1101(oracle) gid=1000(oinstall)
groups=1000(oinstall),1201(asmdba),1300(dba),1301(oper) [oracle@orcla:/home/oracle]$ ssh orclb date
Thu Jan 11 03:54:23 CST 2018
[oracle@orclb:/home/oracle]$ ssh orcla date
Thu Jan 11 03:55:10 CST 2018
3、确认 Oracle 用户的互信配置文件
[oracle@orcla:/home/oracle/.ssh]$ ls -lrt
total 20
-rw-r--r-- 1 oracle oinstall 23 Apr 13 2017 config
-rw-r--r-- 1 oracle oinstall 222 Apr 13 2017 id_rsa.pub
-rw------- 1 oracle oinstall 887 Apr 13 2017 id_rsa
-rw-r--r-- 1 oracle oinstall 664 Apr 13 2017 authorized_keys
-rw-r--r-- 1 oracle oinstall 804 Apr 13 2017 known_hosts
[oracle@orclb:/home/oracle/.ssh]$ ls -lrt
total 20
-rw-r--r-- 1 oracle oinstall 23 Apr 13 2017 config
-rw-r--r-- 1 oracle oinstall 222 Apr 13 2017 id_rsa.pub
-rw------- 1 oracle oinstall 883 Apr 13 2017 id_rsa
-rw-r--r-- 1 oracle oinstall 664 Apr 13 2017 authorized_keys
-rw-r--r-- 1 oracle oinstall 804 Apr 13 2017 known_hosts
三、破坏 oracle 用户的 SSH 互信
1、测试修改用户密码是否影响 SSH 互信
1.1 、修改 orcla 节点的 Oracle 用户密码
[oracle@orcla:/home/oracle/.ssh]$ passwd
Changing password for user oracle.
Changing password for oracle.
(current) UNIX password:
New password:
Retype new password:
passwd: all authentication tokens updated successfully. 1.2 、检查 orcla 节点 SSH 互信文件没有更新
[oracle@orcla:/home/oracle/.ssh]$ ls -lrt
total 20
-rw-r--r-- 1 oracle oinstall 23 Apr 13 2017 config
-rw-r--r-- 1 oracle oinstall 222 Apr 13 2017 id_rsa.pub
-rw------- 1 oracle oinstall 887 Apr 13 2017 id_rsa
-rw-r--r-- 1 oracle oinstall 664 Apr 13 2017 authorized_keys
-rw-r--r-- 1 oracle oinstall 804 Apr 13 2017 known_hosts
1.3 、修改 orclb 节点的 Oracle 用户密码
[oracle@orclb:/home/oracle/.ssh]$ passwd
Changing password for user oracle.
Changing password for oracle.
(current) UNIX password:
New password:
Retype new password:
passwd: all authentication tokens updated successfully.
1.4 、检查 orclb 节点 SSH 互信文件没有更新
[oracle@orcla:/home/oracle/.ssh]$ ls -lrt
total 20
-rw-r--r-- 1 oracle oinstall 23 Apr 13 2017 config
-rw-r--r-- 1 oracle oinstall 222 Apr 13 2017 id_rsa.pub
-rw------- 1 oracle oinstall 887 Apr 13 2017 id_rsa
-rw-r--r-- 1 oracle oinstall 664 Apr 13 2017 authorized_keys
-rw-r--r-- 1 oracle oinstall 804 Apr 13 2017 known_hosts 1.5 、测试 2 个节点 oracle 用户的互信
[oracle@orcla:/home/oracle/.ssh]$ ssh orclb date
Thu Jan 11 04:07:20 CST 2018
[oracle@orclb:/home/oracle/.ssh]$ ssh orcla date
Thu Jan 11 04:07:30 CST 2018
1.6 、总结
通过上面的测试可以看出修改用户密码并不会影响 SSH 互信。
2、破坏 SSH 互信配置文件
2.1 、把 SSH 配置文件放到 BAK 目录下
2.1.1、节点 1
[oracle@orcla:/home/oracle]$ cd .ssh
[oracle@orcla:/home/oracle/.ssh]$ ls -lrt
total 4
drwxr-xr-x 2 oracle oinstall 4096 Jan 11 04:09 bak
[oracle@orcla:/home/oracle/.ssh]$ cd bak
[oracle@orcla:/home/oracle/.ssh/bak]$ ls -lrt
total 20
-rw-r--r-- 1 oracle oinstall 23 Apr 13 2017 config
-rw-r--r-- 1 oracle oinstall 222 Apr 13 2017 id_rsa.pub
-rw------- 1 oracle oinstall 887 Apr 13 2017 id_rsa
-rw-r--r-- 1 oracle oinstall 664 Apr 13 2017 authorized_keys
-rw-r--r-- 1 oracle oinstall 804 Apr 13 2017 known_hosts 2.1.2、节点 2
[oracle@orclb:/home/oracle]$ cd .ssh
[oracle@orclb:/home/oracle/.ssh]$ ls -lrt
total 4
drwxr-xr-x 2 oracle oinstall 4096 Jan 11 04:09 bak
[oracle@orclb:/home/oracle/.ssh]$ cd bak
[oracle@orclb:/home/oracle/.ssh/bak]$ ls -lrt
total 20
-rw-r--r-- 1 oracle oinstall 23 Apr 13 2017 config
-rw-r--r-- 1 oracle oinstall 222 Apr 13 2017 id_rsa.pub
-rw------- 1 oracle oinstall 883 Apr 13 2017 id_rsa
-rw-r--r-- 1 oracle oinstall 664 Apr 13 2017 authorized_keys
-rw-r--r-- 1 oracle oinstall 804 Apr 13 2017 known_hosts
2.2 、测试 Oracle 用户节点互信
2.2.1、节点 1
[oracle@orcla:/home/oracle]$ ssh orclb date
The authenticity of host 'orclb (192.168.56.101)' can't be established.
RSA key fingerprint is 9c:d5:db:e5:83:62:81:db:14:93:cc:e0:b4:8a:2d:be.
Are you sure you want to continue connecting (yes/no)?
2.2.2、节点 2
$ ssh orcla date
The authenticity of host 'orcla (192.168.56.100)' can't be established.
RSA key fingerprint is 93:2e:22:5d:26:6d:53:f3:8f:20:ec:26:cc:62:82:dd.
Are you sure you want to continue connecting (yes/no)? 2.3 、检查集群状态
[grid@orcla:/home/grid]$ crsctl status res -t
-------------------------------------------------------------------------------
-
NAME TARGET STATE SERVER STATE_DETAILS
-------------------------------------------------------------------------------
-
Local Resources
-------------------------------------------------------------------------------
-
ora.ACFSDG.dg
ONLINE ONLINE orcla
ONLINE ONLINE orclb
ora.DATADG.dg
ONLINE ONLINE orcla
ONLINE ONLINE orclb
ora.LISTENER.lsnr
ONLINE ONLINE orcla
ONLINE ONLINE orclb
ora.OCRDG.dg
ONLINE ONLINE orcla
ONLINE ONLINE orclb
ora.asm
ONLINE ONLINE orcla Started
ONLINE ONLINE orclb Started
ora.gsd
OFFLINE OFFLINE orcla
OFFLINE OFFLINE orclb
ora.net1.network
ONLINE ONLINE orcla
ONLINE ONLINE orclb
ora.ons
ONLINE ONLINE orcla
ONLINE ONLINE orclb
ora.registry.acfs
ONLINE ONLINE orcla
ONLINE ONLINE orclb
ora.LISTENER_SCAN1.lsnr
1 ONLINE ONLINE orcla
ora.cvu
1 ONLINE ONLINE orcla
ora.oc4j
1 ONLINE ONLINE orcla
ora.orcl.db
1 ONLINE ONLINE orcla Open
2 ONLINE ONLINE orclb Open
ora.orcl.sf_orcl.svc
1 ONLINE ONLINE orclb
ora.orcla.vip
1 ONLINE ONLINE orcla
ora.orclb.vip
1 ONLINE ONLINE orclb
ora.scan1.vip
1 ONLINE ONLINE orcla
注:可以看出集群状态正常
2.4 、检查 2 个节点 alert 日志
节点 2 个节点的 alert 日志无刷新,无报错,无告警信息。
2.5 、总结
通过上面的测试可以推断出:破坏 oracle 用户的 SSH 互信配置文件,并不会影
响 RAC 集群的正常运行。 四、恢复 oracle 用户的 SSH 互信
1、恢复 oracle 用户的 SSH 互信配置文件
1.1 、节点 1
[oracle@orcla:/home/oracle/.ssh/bak]$ ls -lrt
total 20
-rw-r--r-- 1 oracle oinstall 23 Apr 13 2017 config
-rw-r--r-- 1 oracle oinstall 222 Apr 13 2017 id_rsa.pub
-rw------- 1 oracle oinstall 887 Apr 13 2017 id_rsa
-rw-r--r-- 1 oracle oinstall 664 Apr 13 2017 authorized_keys
-rw-r--r-- 1 oracle oinstall 804 Apr 13 2017 known_hosts
[oracle@orcla:/home/oracle/.ssh/bak]$ mv * /home/oracle/.ssh
[oracle@orcla:/home/oracle/.ssh/bak]$ ls -lrt
total 0
[oracle@orcla:/home/oracle/.ssh/bak]$ cd ../
[oracle@orcla:/home/oracle/.ssh]$ ls -lrt
total 24
-rw-r--r-- 1 oracle oinstall 23 Apr 13 2017 config
-rw-r--r-- 1 oracle oinstall 222 Apr 13 2017 id_rsa.pub
-rw------- 1 oracle oinstall 887 Apr 13 2017 id_rsa
-rw-r--r-- 1 oracle oinstall 664 Apr 13 2017 authorized_keys
-rw-r--r-- 1 oracle oinstall 804 Apr 13 2017 known_hosts
drwxr-xr-x 2 oracle oinstall 4096 Jan 11 04:21 bak
[oracle@orcla:/home/oracle/.ssh]$
1.2 、节点 2
[oracle@orclb:/home/oracle/.ssh/bak]$ ls -lrt
total 20
-rw-r--r-- 1 oracle oinstall 23 Apr 13 2017 config
-rw-r--r-- 1 oracle oinstall 222 Apr 13 2017 id_rsa.pub
-rw------- 1 oracle oinstall 883 Apr 13 2017 id_rsa
-rw-r--r-- 1 oracle oinstall 664 Apr 13 2017 authorized_keys
-rw-r--r-- 1 oracle oinstall 804 Apr 13 2017 known_hosts
[oracle@orclb:/home/oracle/.ssh/bak]$ mv * /home/oracle/.ssh
[oracle@orclb:/home/oracle/.ssh/bak]$ ls -lrt
total 0
[oracle@orclb:/home/oracle/.ssh/bak]$ cd ../ [oracle@orclb:/home/oracle/.ssh]$ ls -lrt
total 24
-rw-r--r-- 1 oracle oinstall 23 Apr 13 2017 config
-rw-r--r-- 1 oracle oinstall 222 Apr 13 2017 id_rsa.pub
-rw------- 1 oracle oinstall 883 Apr 13 2017 id_rsa
-rw-r--r-- 1 oracle oinstall 664 Apr 13 2017 authorized_keys
-rw-r--r-- 1 oracle oinstall 804 Apr 13 2017 known_hosts
drwxr-xr-x 2 oracle oinstall 4096 Jan 11 04:21 bak
2、测试 2 个节点 oracle 用户的互信
2.1 、节点 1
[oracle@orcla:/home/oracle]$ ssh orclb date
Thu Jan 11 04:25:12 CST 2018
[oracle@orcla:/home/oracle]$
2.2 、节点 2
[oracle@orclb:/home/oracle]$ ssh orcla date
Thu Jan 11 04:25:01 CST 2018
[oracle@orclb:/home/oracle]$
3、总结
通过上面的测试可以看出: SSH 互信的配置文件 mv 到正确的目录后, oracle 用
户的 SSH 互信恢复正常。