Gravity-Sync项目在密钥认证环境下的部署实践

背景介绍

Gravity-Sync是一个用于同步Pi-hole之间gravity列表的工具，在实际部署中，很多用户会选择在基于DietPi操作系统的Pi-hole实例上使用。本文将详细介绍在仅使用root用户、禁用密码认证且启用带密码保护的密钥认证环境下，如何正确部署Gravity-Sync工具。

环境准备

在开始部署前，需要确保以下环境条件：

1. 两台运行DietPi(Bookworm)操作系统的Pi-hole服务器
2. 系统仅配置root用户
3. SSH密码认证已禁用
4. 已启用带密码保护的密钥认证

部署步骤详解

1. 建立SSH密钥认证

首先在两台Pi-hole服务器之间建立SSH密钥认证，这是Gravity-Sync正常工作的基础。建议在~/.ssh/config文件中配置主机别名，例如：

Host pihole1
    HostName 实际IP地址1
    User root
    IdentityFile ~/.ssh/私钥路径

Host pihole2
    HostName 实际IP地址2
    User root
    IdentityFile ~/.ssh/私钥路径

2. 安装Gravity-Sync

运行Gravity-Sync安装脚本时，在提示输入远程IP地址时，可以直接使用配置文件中定义的主机别名(如pihole1或pihole2)，而不是直接输入IP地址。这种方式可以充分利用已有的SSH配置。

3. 配置文件调整

安装完成后，需要编辑gravity-sync.conf文件，将remote_ip参数从主机别名改为实际的IP地址。这一步骤确保了在不同网络环境下配置的可靠性。

技术要点解析

1. 密钥认证机制：Gravity-Sync依赖SSH进行服务器间通信，理解SSH密钥认证机制对部署至关重要。带密码保护的密钥提供了额外的安全层。

2. 配置文件管理：安装后调整配置文件是必要的步骤，这确保了在不同网络环境下的灵活性。

3. root用户考量：在仅使用root用户的环境中，需要特别注意权限管理，确保密钥文件权限设置正确(通常为600)。

最佳实践建议

1. 在配置SSH时，建议使用ED25519算法生成密钥对，它比传统的RSA更安全高效。

2. 考虑设置SSH代理来管理密钥密码，避免频繁输入密码。

3. 定期轮换SSH密钥对以增强安全性。

4. 在防火墙规则中，限制SSH端口仅允许特定IP访问，增加安全性。

常见问题处理

如果在部署过程中遇到连接问题，可以按以下步骤排查：

1. 使用ssh -v命令测试SSH连接，查看详细日志
2. 检查密钥文件权限是否正确
3. 确认远程服务器上的authorized_keys文件包含正确的公钥
4. 验证SELinux或AppArmor等安全模块是否阻止了连接

通过以上步骤和注意事项，用户可以在基于密钥认证的环境中顺利部署Gravity-Sync工具，实现Pi-hole之间的gravity列表同步。这种部署方式既保证了便利性，又兼顾了系统安全性。