安全加固下安装GBase 8a集群统绕行解决方案分析总结

一、概述

近期在某银行部署GBase 8a集群时，遇到一例因操作系统进行了安全加固引起的部分问题。因客户并不清楚具体都做了哪些安全加固东错，所以只能遇到一个问题解决一个问题。现将绕行解决方案总结如下：

二、现场环境

集群版本：GBase8a_MPP_Cluster-NoLicense-9.5.3.28.15-redhat8-x86_64

集群操作系统：银河麒麟V10

三、部署过程遇到的问题总结

1）安装过程中卡死不动，也没有日志输出

查看系统进程：发现停在ssh到其他节点上。

怀疑是ssh其他节点过程有问题，但手动可通过验证：

这时注意到ssh时有提示“Authorized users only. All activities may be monitored and reported”,怀疑是安装脚本在获取命令结果时找不到自己想要的返回结果，因此尝试调整/etc/ssh/ sshd_config中Banner部分内容(咨询过研发)。

注释上面Banner部分内容，并重启sshd服务后，重新执行安装脚本，卡死现象消失。

2）gbase用户crontab权限不足

上述卡死情况解决后，继续执行安装脚本，又提示gbase用户crontab权限不足:

原因为 需要在gbase用户下设置日志打包定时任务，所以需要gbase用户可以执行crontab命令。在/etc/cron.allow中添加gbase即可。

3）节点状态异常

    安装完集群后，集群状态为CLOSE。启动集群服务时提示失败，原因为集群默认使用libdn.so.11，而银河麒麟V10系统自带libdn,so.12.6.0,因此，需要创建libdn.so.11的软连接。     ln -s libdn,so.12.6.0  libdn.so.11 ， 然后重启集群服务即可恢复。

4）ftp服务器无法进行加载数据。

    原因因服务器开启防火墙，仅开放的22、21、5258、5050端口，其他的    端口全部禁止。而ftp采用被动模式，因此需要在vsftpd.cnf中增加下面参数：   

  pasv_enable=YES

#设定在PASV模式下，建立数据传输所可以使用port范围的下界和上界

    pasv_min_port=20001
   pasv_max_port=21000

重启vsftpd服务：

 systemctl restart vsftpd.service

开启防火墙端口： 

firewall-cmd --zone=public --add-port=20001-21000/tcp --permanent

firewall-cmd --reload                                              

ps:

 1） 为了确保集群的完整性，卸载上述已部署的集群后再重新部署，部署过程一切正常。

2）恢复行内要求的Banner并重启sshd服务。