Authentication failure

I have hosts, that use SSH Host-Based authentication. When I write a script like below (ssh.rb), it throws Net::SSH::AuthenticationFailed.

#!/usr/local/bin/ruby
require 'rubygems'
require 'net/ssh'
Net::SSH.start(
  'target.foo.co.jp',
  'daiba',
  :auth_methods => %w(hostbased),
  :keys => %w(/etc/ssh/ssh_host_dsa_key)
) do |ssh|
  puts ssh.exec!('hostname')
end

Investigation

First, to use "hostbased authentication", your script need to read the local host's private-key. This file is read only by root, so, you must run your script with root privilege.

$ sudo ./ssh.rb

Second, Net::SSH::Authentication::Methods::Hostbased.authenticate_with method

def authenticate_with(identity, next_service, username, key_manager)
  debug { "trying hostbased (#{identity.fingerprint})" }
  client_username = ENV['USER'] || username

checks userneme by "ENV['USER']", then your script gets client_username as 'root'. I don't know why, but my host's /etc/ssh/sshd_configuration deny 'client_username = root' access. This is the problem.

Bad knowhow

I want 'client_username == username', so change the line like below.

def authenticate_with(identity, next_service, username, key_manager)
  debug { "trying hostbased (#{identity.fingerprint})" }
#  client_username = ENV['USER'] || username
  client_username = username

And you can run your script without Net::SSH::AuthenticationFailed.

Jabber Channel Bot

Google waveでJabberを拡張したプロトコルを使うという話もあって，またJabberが盛り上がってきそうな今日このごろ，Channel（というかチャットルームと言った方がわかりやすい気もします）に投稿するBotを作ってみました．以前IRC用に作ったスクリプトのJabber版です．最近の流行に乗ってMooseを使ってみることにしました．使い方はこんな感じです．

#!/usr/local/bin/perl
use strict;
use warnings;
use MyBot;

main() unless caller();

sub main {
    my $bot = MyBot->new(
        jid      => 'bot0@jabber.foo.co.jp',
        passwd   => 'password',
        chatRoom => 'lanman@conference.jabber.foo.co.jp',
        debug    => 1
    );
    $bot->run;
}

"main() unless caller()"は何かのスクリプトで見たのをそのまま使ったので，特に深い意味はありません．というかこの使い方の意味がわかってないです．今回使用したjabberサーバはejabberdなので，デフォルトでのチャットルームのjidは，"チャットルーム名＠conference.サーバのfqdn"となります．それから，"debug => 1"はAnyEvent::XMPPのdebugモードを制御していて，何もしない0がデフォルト値になります．

MyBotのソース

AnyEvent::XMPPのsampleについてきたスクリプトをほとんどそのまま使用しています．serverPortで指定したportで待っていて，ここで受け付けたテキストをChatroomに投げる仕組みです．セキュリティは勘案してなくて，ホントにテストのためにのみ作っています．

package MyBot;

use Moose;
use AnyEvent;
use AnyEvent::Handle;
use AnyEvent::Socket;
use AnyEvent::XMPP::Client;
use AnyEvent::XMPP::Ext::Disco;
use AnyEvent::XMPP::Ext::Version;
use AnyEvent::XMPP::Ext::MUC;
use AnyEvent::XMPP::Namespaces qw/xmpp_ns/;
use AnyEvent::XMPP::Util qw/node_jid res_jid/;

has 'anyeventCondvar' => (
    is         => 'rw',
    isa        => 'AnyEvent::CondVar',
    lazy_build => 1,
);

has 'chatRoom' => (
    is       => 'rw',
    isa      => 'Str',
    required => 1,
);

has 'connectMessage' => (
    is       => 'rw',
    isa      => 'Str',
    required => 1,
    default  => 'Bot started!',
);

has 'jid' => (
    is       => 'rw',
    isa      => 'Str',
    required => 1,
);

has 'passwd' => (
    is       => 'rw',
    isa      => 'Str',
    required => 1,
);

has 'presence' => (
    is       => 'rw',
    isa      => 'Str',
    required => 1,
    default  => "Bot sample",
);

has 'serverPort' => (
    is       => 'rw',
    isa      => 'Int',
    required => 1,
    default  => 34832,
);

has 'tcpServer' => (
    is  => 'rw',
    isa => 'AnyEvent::Handle',
);

has 'xmppClient' => (
    is         => 'rw',
    isa        => 'AnyEvent::XMPP::Client',
    lazy_build => 1,
);

has 'debug' => (
    is       => 'rw',
    isa      => 'Int',
    required => 1,
    default  => 0,
);

__PACKAGE__->meta->make_immutable;

no Moose;

sub _build_anyeventCondvar {
    return AnyEvent->condvar;
}

sub _build_xmppClient {
    my $self = shift;

    my $cl = AnyEvent::XMPP::Client->new( debug => $self->debug );

    my $disco   = AnyEvent::XMPP::Ext::Disco->new;
    my $version = AnyEvent::XMPP::Ext::Version->new;
    my $muc     = AnyEvent::XMPP::Ext::MUC->new( disco => $disco );

    $cl->add_extension($disco);
    $cl->add_extension($version);
    $cl->add_extension($muc);
    $cl->set_presence( undef, $self->presence, 1 );
    $cl->add_account( $self->jid, $self->passwd );

    $cl->reg_cb(
        session_ready => sub {
            my ( $cl, $acc ) = @_;
            $muc->join_room( $acc->connection, $self->chatRoom,
                node_jid( $acc->jid ) );
        },
        contact_request_subscribe => sub {
            my ( $cl, $acc, $roster, $contact ) = @_;
            $contact->send_subscribed;
        },
        connected => sub {
            $cl->send_message( $self->connectMessage, $self->chatRoom,
                $self->jid, 'groupchat' );
            0;
        },
    );

    $self->xmppClient($cl);
}

sub tcp_server_setup {
    my $self = shift;

    AnyEvent::Socket::tcp_server undef, $self->serverPort, sub {
        my ( $clsock, $host, $port ) = @_;
        $self->tcpServer(
            AnyEvent::Handle->new(
                fh       => $clsock,
                on_error => sub { print "Client connection error:\n" }
            )
        );
        $self->tcpServer->push_read(
            line => sub {
                my ( undef, $line ) = @_;
                $self->xmppClient->send_message( $line, $self->chatRoom,
                    $self->jid, 'groupchat' );
                $self->tcpServer->on_drain(
                    sub {
                        $self->tcpServer->fh->close;
                        $self->tcpServer();
                    }
                );
            }
        );
    };
}

sub run {
    my $self = shift;

    $self->tcp_server_setup;

    $self->xmppClient->start;
    $self->anyeventCondvar->wait;
}

1;

注意しないといけないのは，"$cl->send_message()"の第4引数です．チャットルームに投稿する場合，ここで指定するメッセージタイプは'groupchat'になります．

インストールするまで

サーバを沢山管理することになりました．それらのサーバではrubyを使っていたので，rubyベースのdeployツールCapistranoを使ってみる事にしました．Capistranoは2009/2に作者がもうメンテナンスしないぜと宣言したプロダクトです．とはいっても，コミュニティがメンテすることになるだろうから今後も問題ないだろうなと思ってます．それはそれとして，CapistranoをインストールするにはRubyGemsが必要なのでまずはそこからインストールします．RubyGems の使い方 - WebOS Goodiesを見ながらwgetでファイルをダウンロードして，

# ruby setup.rb

でインストールします．Capistranoは

$ sudo gem install capistrano

でインストールできます．

秘密鍵の管理

普段色々鍵を使っていてdefaultの".ssh/id_dsa"とかを使うようにはしたくなかったので，明示的に鍵を指定するようにしました．もしかしたら，.ssh/configが使えたのかもしれないですが，調べてないです…

role :test1, "sv100.foo.co.jp"

task :hostname, :roles => :test1 do
  run "hostname"
end

ssh_options[:keys] = %w(/home/daiba/.ssh/capistrano)
ssh_options[:auth_methods] = %w(publickey)

これで，test1というロールで指定したホスト群に対して，/home/daiba/.ssh/capistranoという秘密鍵でsshして，hostnameを実行し，その結果を表示します．

メニュー化

Capistranoはdefaultでcapfileという名前のファイルを選んで，その上で定義したルールを実行しますが，-fオプションを付けるとファイルを指定することもできます．

$ cap hostname
$ cap -f CAPFILE hostname

ロールを沢山作った時にロールが覚えられなくなるだろうと思ったので，menuというロールを作って，そこから選択できるようにしてみました．

role :test1, "sv100.foo.co.jp"

desc "menu list"
task :menu do
  Capistrano::CLI.ui.say("\nThis is with a oneline menu layout...")
  Capistrano::CLI.ui.choose do |menu|
    menu.layout = :one_line

    menu.header = "Execute"
    menu.prompt = "Application?  "

    menu.choice :hostname do
      hostname
    end
    menu.choice :whoami do
      whoami
    end
    menu.choices(:skip, :exit) do
      Capistrano::CLI.ui.say("Choose not to run..")
    end
  end
end

task :hostname, :roles => :test1 do
  run "hostname"
end
task :whoami, :roles => :test1 do
  run "whoami"
end

この場合だと，hostnameとwhoamiが選択できます．

sudoでパスワードを入力

sshするだけではなく，別ユーザになってコマンドを実行したいときがあります．この場合はsudoを利用するわけですが，そのときはこんな感じに使います．

role :test1, "sv100.foo.co.jp"

set :sudo_password, 'Password:'

task :whoami do
  run "#{sudo :as => 'oops'} whoami", roles => :test1 do |channel, stream, data|
    if stream == :out
      puts channel[:host] + ': ' + data
    end
  end
end

"set :sudo_pasword, 'Password:'"はsudoプログラムが出力する文字列を指定しているので，システムによっては変更する必要があるでしょう．defaultでは"sudo password: "が割り当てられています．これで，sudoになる時のパスワードがキャッシュされていなければCapistranoが質問してきます．sudo変数を使うのでなければ，以下のような使い方もできます．

role :test1, "sv100.foo.co.jp"

set(:my_password) { Capistrano::CLI.password_prompt("My password: ") }

task :whoami do
  run "sudo -u ops whoami", :roles => :test1 do |channel, stream, data|
    if data =~ /^Password:/
      channel.send_data "#{my_password}\n"
    end
    if stream == :out
      puts data
    end
  end
end

dynamicにロールのターゲットを作成

role対象のホストを一個づつ書くのは面倒なので，スクリプトをそこに書きたくなります．ターゲットは"hostA, hostB, hostC"のような文字列か，配列を与えることができるので，こんな使い方ができます．

role(:servers) do
  hosts = Array.new
  100.upto 200 do |x|
    hosts.push('sv' + String(x) + '.foo.co.jp')
  end
  hosts
end

task :hostname, :roles => :servers, :max_hosts => 10 do
  run "hostname"
end

[5/20追加]1000台のマシンに対して実行したらプロセスがうんともすんとも言わなかったので調べてみたら，defaultではsshセッションの上限が設定されてないようでした．そのため，大量のホストにコマンドを実行する際には，":max_hosts"で一度に張るセッションの上限を設定する必要があります．":max_hosts"は将来なくなるかもしれないオプションのようです．

scpでファイル配布（書くのを忘れてたので追加）

ファイル配布にはsftpとscpが使えます．普段scpを使ってるのでそっちしか試してません．設定は以下のようになるのですが，

role :test1, "sv100.foo.co.jp"

desc "upload file"
task :upload!, :roles => :test1  do
  upload("target_file.txt", "/tmp", :via => :scp)
end

uploadはローカルマシンからターゲットマシンへの転送，逆方向の場合はdownloadになります．

さて

苦労した割にはtipsが溜まらなかったです．ここでやっているようなことをArcher - yet another deployment tool - metacpan.orgでやり直すかどうかを悩んでいるところ．

追加：2009/04/23

equivalent_modulesオプションがサポートされたのは，Perl::Critic 1.094からなんだけど，これにはバグがあって1.096で修正されたみたい．最新のバージョンは1.098でこれにupgradeしたらtestが通った．