在 SSH 客户机与 HMC 之间设置安全的脚本执行

描述如何确保 SSH 客户机与 HMC 之间的脚本执行是安全的。

注: 要在 SSH 客户机与 HMC 之间使脚本能够以无人照管方式运行,必须已在客户机的操作系统上安装 SSH 协议。

HMC 通常放置在受管系统所在的机房内,因此,您可能没有对 HMC 的物理访问权。这种情况下,您可以通过使用远程客户机或远程命令行界面以远程方式访问它。本主题描述如何确保 SSH 客户机与 HMC 之间的脚本执行是安全的。

要在 SSH 客户机与 HMC 之间使脚本能够以无人照管方式运行,请执行以下操作:

  1. 在导航区域中,选择 HMC 管理
  2. 在导航区域中,单击 HMC 配置
  3. 在内容区域中,单击启用/禁用远程命令执行
  4. 当窗口打开时,选择该框以启用 SSH。
  5. 使用以下其中一个角色来创建 HMC 用户:
    • 超级管理员
    • 服务代表
  6. 在客户机的操作系统上,运行 SSH 协议密钥生成器。要运行 SSH 协议密钥生成器,请执行以下操作:
    1. 要存储密钥,创建一个名为 $HOME/.ssh 的目录(可以使用 RSA 或 DSA 密钥)。
    2. 要生成公用密钥和专用密钥,运行以下命令:
      ssh-keygen -t rsa
      将在 $HOME/.ssh 目录中创建以下文件:
      专用密钥:id_rsa
公用密钥:id_rsa.pub
      其他的写入位是关闭的。确保专用密钥的许可权是 600。
  7. 在客户机的操作系统上,使用 ssh 并运行 mkauthkeys 命令来更新 HMCHMC 用户的 authorized_keys2 文件,命令如下: 
    ssh userid@hostname "mkauthkeys --add '<the key string from $HOME/.ssh/id_dsa.pub>'"

HMC 删除密钥

要从 HMC 删除密钥,请选择以下其中一个过程:

可以使用此过程来修改各种文件以便从 HMC 中删除密钥:

  1. 在逻辑分区上,使用 scp 命令将 authorized_keys2 文件从 HMC 复制到逻辑分区,如下所示:
    scp userid@host_name :.ssh/authorized_keys2 /tmp/mykeyfile
  2. 在 /tmp/mykeyfile 文件中,除去包含系统(您想要该系统能够以远程方式运行 HMC 命令)的密钥和主机名那一行。
  3. 在逻辑分区上,使用 scp 命令来将新文件复制到 HMC
    scp /tmp/mykeyfile userid@host_name ".ssh/authorized_keys2"
  4. 如果您想要对通过 ssh 访问 HMC 的所有主机启用密码提示,则使用 ssh 命令以从 HMC 中除去密钥文件:
    scp userid@hostname:.ssh/authorized_keys2 authorized_keys2
  5. 编辑 authorized_keys2 文件并除去此文件中的所有行,然后将它重新复制到 HMC。例如:
    scp authorized_keys joe@somehost:.ssh/authorized_keys2

或者

可使用命令行通过 mkauthkeys 命令从 HMC 删除密钥。例如:
ssh userid@hostname "mkauthkeys --remove 'joe@somehost'"
父主题: 使用 HMC 远程命令行
发送反馈 | 评价本页