Cfengine培训文档刘天斯

Cfengine V2 主讲人：刘天斯

什么是 Cfengine? Cfengine ( 配置引擎 ) 是一种 UNIX 分布式系统管理实用程序，其目的是使简单的管理的任务自动化，使困难的任务变得较容易。它的目标是使系统任何状态收敛到一种理想状态。它适用于所有基于 UNIX 或类 UNIX 的操作系统，并且它可以通过 UNIX 兼容的环境 / 库 Cygwin 在较新版本的 Windows 操作系统中运行。

Cfengine 可以做什么 ?
♦ 完成后期安装任务，例如配置网络界面信息。
♦ 编辑系统配置文件以及其它文件。
♦ 建立信号连接。
♦ 检验、更正文件许可及所有权。
♦ 删除无用文件。
♦ 压缩被选文件。
♦ 在网络中分发文件。
♦ 自动挂载 NFS 文件系统。
♦ 检查重要文件和文件系统是否存在及其完整性。
♦ 执行命令及脚本。
♦ 应用安全相关的补丁以及相似系统的修正。
♦ 管理系统服务器进程。

Cfengine 安装
mkdir -p /home/setup
cd /home/setup
wget http://192.168.100.247/cfengine/cfengine-2.2.5.tar.gz
tar -zxvf cfengine-2.2.5.tar.gz && cd cfengine-2.2.5
./configure
make && make install
/usr/local/sbin/cfagent -v
/usr/local/sbin/cfkey
/usr/local/sbin/cfexecd
/usr/local/sbin/cfservd
cp /usr/local/sbin/cfagent /var/cfengine/bin
cp /usr/local/sbin/cfenvd /var/cfengine/bin
cp /usr/local/sbin/cfexecd /var/cfengine/bin
cp /usr/local/sbin/cfservd /var/cfengine/bin
mkdir -p /var/cfengine/masterfile/inputs
echo "/var/cfengine/bin/cfservd" >> /etc/rc.local
echo "/var/cfengine/bin/cfenvd -H" >> /etc/rc.local
echo "iptables -A INPUT -s 192.168.0.0/16 -p tcp --dport 5308 -j ACCEPT" >> /etc/firewall.sh
/var/cfengine/bin/cfagent -v

Cfengine 的组成部分
♦ Cfagent : 解释策略的承诺并且以收敛的方式执行它们。代理可使用由统计监测引擎
Cfenvd 产生的数据，并且它能从运行于本地或远程主机上的 Cfenvd 中获取数据。
♦ Cfexecd : 执行 Cfagent ，并且记录它的输出（可选择通过电子邮件寄出摘要）。它可
以在一个后台程序（ standalone ）的模式下运行，或者可以通过 cron 在一个类似于
Unix 的系统上运行。
♦ Cfservd : 监控 Cfengine 的端口：提供文件数据，并在接收一个来自 cfrun 的连接的
基础上启动 Cfagent 。请注意，没有数据可以通过这个后台程序。
♦ Cfrun : 联接远程主机，并要求他们运行 cfagent 。
♦ Cfenvd : 收集在每台主机上使用资源的统计数据，用于异常状况的检测。信息以
cfengine 类的形式被代理获得，因此代理可以及时地对异常的动态状况进行检查并
作出反应。
♦ Cfkey : 在主机生成“公有 - 私有”密钥对。一般作为 Cfengine 软件安装过程中的一
个步骤，你只需运行一次该程序。
♦ Cfshow : 一旦你对它的内部存储感兴趣， cfshow 便将 cfagent 的数据库内容以 ASCII
的格式导入。
♦ Cfenvgraph : 将 Cfenvd 的数据库内容导入为一种可用于图标格式显示一台主机在
其环境中的一般行为。

Cfengine 组成部分之间的联系
1 ）服务器上运行 cfrun,cfrun 会根据 cfrun.hosts 中的主机列表来连接到某个客户机的 cfservd 程序
2 ）客户机上 cfservd 调用本机的 cfagent 程序
3 ）客户机上 cfagent 程序执行 update.conf, 连接到中央机的 cfservd 复制下载策略文件 cafagent.conf
4 ）客户机下载成功后执行最新版本的策略文件 , 不成功就执行旧版本的 .

Cfengine 操作符
groups( 组合 )
control( 控制 )
homeservers( 主服务器 )
binservers( 执行文件服务器 )
mailserver( 邮件服务器 )
mountables( 挂载表 )
import( 导入 )
broadcast( 广播 )
resolve( 解析 )
defaultroute( 默认路由 )
directories( 目录 )
miscmounts( 杂项挂载 )
files( 文件 )
ignore( 忽略 )
tidy( 整理 )
required( 必需 )
links( 链接 )
disable( 禁用 )
shellcommands(shell 命令 )
editfiles( 编辑文件 )
processes( 过程 )

Cfengine 策略文件 cfservd.conf
control:
domain = ( google.cn )
#add by liuts
cfrunCommand = ( "/usr/local/sbin/cfagent" )
DenyBadClocks = ( false )
#add by liuts
MaxConnections = ( 1000 )
AllowConnectionsFrom = ( 192.168.0.0/16 )
# AllowMultipleConnectionsFrom = ( 192.168.0 )
TrustKeysFrom = ( 192.168.0.0/16 )
AllowUsers = ( root )
MultipleConnections = ( true )
#########################################################
admit: # or grant:
#add by liuts
/var/cfengine/masterfile/inputs 192.168.0.0/16
/usr/local/sbin 192.168.0.0/16
/var/cfengine 192.168.0.0/16
/bin 192.168.0.0/16
/etc 192.168.0.0/16

Cfengine 策略文件 update.conf
# update.conf
control:
actionsequence = ( copy processes tidy )
domain = ( google.cn )
#policyhost = ( my_policy_host )
policyhost = ( cfengine.server.com )
master_cfinput = ( /var/cfengine/masterfile/inputs )
workdir = ( /var/cfengine )
copy:
$(master_cfinput) dest=$(workdir)/inputs
r=inf
mode=700
type=binary
server=$(policyhost)
trustkey=true
processes:
"cfservd" restart /usr/local/sbin/cfservd
"cfenvd" restart "/usr/local/sbin/cfenvd -H"
tidy:
$(workdir)/outputs pattern=* age=7
# End

Cfengine 策略文件 cfagent.conf ( 一 )
control:
access = ( root )
actionsequence = ( resolve copy files editfiles shellcommands )
domain = ( goolge.cn )
timezone = ( CST )
smtpserver = ( smtp.gmail.com ) # used by cfexecd
sysadm = ( liutiansi@gmail.com ) # where to mail output
EmptyResolvConf = ( true )
# listing = ( ExecResult("/bin/date -s 2008-04-30") )
######################################################################
resolve:
8.8.8.8
######################################################################
copy:
/etc/passwd dest=/etc/passwd
server=cfengine.server.com
trustkey=true
/etc/shadow dest=/etc/shadow
server=cfengine.server.com
trustkey=true
######################################################################

Cfengine 策略文件 cfagent.conf ( 二 )
files:
/etc/passwd
mode=644
owner=root
action=fixall
checksum=md5
/etc/shadow mode=600 owner=root action=fixall
######################################################################
editfiles:
{ /home/config.txt
AutoCreate
AppendIfNoSuchLine
"welcome to tianya.cn"
}
######################################################################
shellcommands:
"/bin/echo 'welcomesystem' > /var/cfengine/inputs/info.log"
"/bin/echo $(listing) $(listing1)"
######################################################################
processes:
"inetd" signal=hup
"irc" signal=kill

Cfengine 策略文件 (cfrun.hosts)
#
# This is the host list for cfrun
#
# Only these hosts will be contacted by remote connection
#
access=root
192.168.100.51
192.168.100.52
192.168.100.53
192.168.100.54
192.168.100.55
192.168.100.60
192.168.100.67
192.168.100.109
192.168.100.110
192.168.100.111
192.168.100.112
192.168.100.113
192.168.100.114

Cfengine 之 control ( 类、方法、变量、表达式 )
Hard class:
ultrix, sun4, sun3, hpux, hpux10, aix, solaris, osf, irix4, irix, irix64 sco, freebsd, netbsd, openbsd, bsd4_3, newsos, solarisx86, aos,nextstep, bsdos, linux, debian, cray,unix_sv, GnU, NT
Time class ：
Monday, Tuesday, Wednesday, Thursday, Friday, Saturday, Sunday
Hr00, Hr01, Hr02... Hr23
Min00, Min17,Min45…Min60
Min00_05, Min05_10 ... Min55_00
Q1, Q2, Q3, Q4
Hr00_Q1, Hr23_Q4
Day1 ... Day31
January, February, ... December
Yr1997, Yr2004
ipv4_192_0_0_1, ipv4_192_0_0, ipv4_192_0, ipv4_192

类的格式：
action-type :
compound-class ::
declaration
逻辑操作符：
`()' Parentheses override everything.
`!' The NOT operator binds tightest.
`. &' The AND operator binds more tightly than OR.
`|' OR is the weakest operator.
如： class1|!class2:: 、 !myhost::
变量（系统变量、自定义变量、列表）
系统变量： AllClasses 、 arch 、 binserver 、 domain 、 sysadm 、 timezone 等等
自定义变量： $(variable) 或 ${variable}
列表： listvar = ( one:two:three:four )

系统变量表：
AbortClasses access actionsequence addclasses addinstallable AllowRedefinitionOf AutoDefine BinaryPaddingChar ChecksumDatabase BindToInterface(cfagent ) ChecksumPurge ChecksumUpdates childlibpath copylinks defaultcopytype defaultpkgmgr deletenonuserfiles deletenonownerfiles deletenonusermail deletenonownermail domain dpkginstallcommand repchar repository RPMcommand rpminstallcommand schedule secureinput sensiblecount sensiblesize showactions singlecopy site SkipIdentify Smtpserver SplayTime split spooldirectories suninstallcommand suspiciousnames sysadm Syslog SyslogFacility timezone TimeOut Verbose Warnings warnnonuserfiles warnnonownerfiles warnnonusermail warnnonownermail dryrun editbinaryfilesize editfilesize emptyresolvconf exclamation excludecopy excludelinks ExpireAfter FullEncryption homepattern HostnameKeys IfElapsed Inform interfacename lastseenexpireafter fileextension lastseen linkcopies LogDirectory LogTidyHomeFiles moduledirectory mountpattern netmask nonalphanumfiles nfstype PortageInstallCommand

Cfengine 之 editfiles
格式：
editfiles:
class:: { file-to-be-edited
action “quoted-string..."
}
例子：
editfiles:
linux::
{ /etc/netmasks
IncrementPointer "-1"
InsertLine "$(myservice)"
DeleteLinesContaining "255.255.254.0"
AppendIfNoSuchLine “192.168 255.255.255.0"
}

Cfengine 之 editfiles
常用方法：
AutoCreate
IncrementPointer "-1“
InsertLine string
AppendIfNoSuchLine string
详细方法见 Cfengine 之 editfile 域方法 .doc

Cfengine 常用命令
cfservd -v 启动 cfservd 服务 ( 前台 )
cfagent -v 如果不需要真正执行 , 可以加上 -n 参数
cfexecd -F 执行 Cfagent( 后台 )
cfrun -v 服务器端批量请求客户端代理，对单台服务器的请求
cfrun –v 192.168.100.5

Cfengine 问题总结
1 、安装之前检查服务器时间是否正确。
2 、 Host authentication failed. Did you forget the domain name or IP/DNS address registration (for ipv4 or ipv6)?cfrun:tianyacaathe.: Couldn't recv
(1) 在服务器端运行 cfrun -v IP 出现以上信息：检查客户端 cfservd.conf 文件 AllowMultipleConnectionsFrom 的参数 ;
(2) 在客户端运行 cfagent -v 出现以上信息，检查服务器端 cfservd.conf 文件 admit: 域的参数 ;
3 、 nothing to cfagent do….
请隔 10 秒钟后再运行即可。

谢谢大家！ Q&A http://blog.liuts.com

http://blog.liuts.com	1747
http://zhuaxia.com	7
http://www.zhuaxia.com	6
http://www.liuts.com	5
http://xianguo.com	3
http://static.slidesharecdn.com	2
http://translate.googleusercontent.com	2
http://m351.mail.qq.com	1
http://reader.youdao.com	1
http://www.slideshare.net	1

Cfengine培训文档刘天斯

by liuts on Jun 16, 2010

Accessibility

Categories

Tags

Upload Details

Usage Rights

10 Embeds 1,775

Statistics