ansible 批量公鑰認證

本文鏈接:http://www.itdecent.cn/p/e1363462209d
作者:西瓜甜

目的是不使用 expect 程序,給遠程服務器的任意用戶批量推送公鑰,進行免密登錄,也就是可以不使用初始化腳本了,使用 ansible 的模塊就可以辦到。

總體思路是這樣的:

首先創(chuàng)建一個加密的文件,并且把我們使用的變量和值(就是連接到遠程服務的ssh 用戶名的密碼)編輯到這個加密的文件種。之后讓 ansible 使用,這樣可以保護我們ssh 用戶的密碼不被泄露。
之后在 playbook 中使用這個加密文件,并且在使用模塊 authorized_key給指定的遠程主機用戶發(fā)送用于認證的公鑰。

1 首先配置不檢測對方主機公鑰

ansible.cfg 文件中設置如下內(nèi)容

[defaults]
host_key_checking = False

2 創(chuàng)建加密文件

使用 ansible-vault create 命令可以創(chuàng)建一個經(jīng)過加密的文件。
此時會提示輸入解密這個加密文件的密碼,輸入兩次密碼后,會調(diào)用默認的 vi 編輯器編輯這個文件,此時就可以把需要加密的變量等數(shù)據(jù)寫到這個文件中,寫完后保存退出即可。

創(chuàng)建加密文件

[root@qfedu ~]# ansible-vault create vault-foo.yml
New Vault password:                         # 輸入解密這個這文件的密碼
Confirm New Vault password:            # 再次確認密碼

編輯內(nèi)容

ansible_ssh_pass: upsa

驗證是否加密

[root@xiuyun ~]# cat vault-foo.yml
$ANSIBLE_VAULT;1.1;AES256
36643038636237353237313537366136633865346165336366346530326633343530306637666262
3839353230363763376438396438393538343065363564370a343163306161643063333239306537
66616562613931396338336437656237366261376235326265383334363462646262303864633864
3962353863656633360a343863613337643239633136663631636462613132613763393638353866
35653661326264656130323165663031653430383934623135633539643661333434

可以再次編輯這個加密文件

需要提供解密這個被加密的文件的密碼,就是之前創(chuàng)建時候輸入的密碼

[root@qfedu ~]# ansible-vault edit vault-foo.yml
Vault password:

接下來可以繼續(xù)編輯這個文件:

image.png

3 在playbook 中使用這個加密文件

playbook

[root@qfedu ~]# cat send-pubkey.yml
- hosts: all
  remote_user: root   # 連接遠程主機的用戶,密碼就是加密文件中設置好的 ansible_ssh_pass 的值
  vars_files:
    - foo.yml    # 加密文件
  tasks:
  - name: Set authorized key taken from file
    authorized_key:    # 發(fā)送公鑰的模塊
      user: root            # 給這個用戶發(fā)送公鑰
      state: present
      key: "{{ lookup('file', '/root/.ssh/id_rsa.pub') }}"    # 發(fā)送本地用戶的公鑰路徑

執(zhí)行 playbook

需要使用 --ask-vault-pass 參數(shù)指定一下解密密碼

ansible-playbook -i hosts send-pubkey.yml --limit dbservers --ask-vault-pass
Vault password:

也可以在 ansible.cfg 文件中配置 DEFAULT_VAULT_PASSWORD_FILE 的值指向一個文件,這個文件中保存了解密的密碼

vault_password_file = /path/to/vault_password_file

這樣執(zhí)行 playbook 時就不用使用 --ask-vault-pass 參數(shù)了

[root@xiuyun ~]# ansible-playbook -i hosts send-pubkey.yml --limit dbservers

PLAY [all] *********************************************************************

TASK [Gathering Facts] *********************************************************
ok: [172.18.0.3]

TASK [Set authorized key taken from file] **************************************
changed: [172.18.0.3]

PLAY RECAP *********************************************************************
172.18.0.3                 : ok=2    changed=1    unreachable=0    failed=0    skipped=0    rescued=0    ignored=0

驗證

[root@xiuyun ~]# ssh root@172.18.0.3  "hostname -i;ls ~/.ssh"
172.18.0.3
authorized_keys
最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
【社區(qū)內(nèi)容提示】社區(qū)部分內(nèi)容疑似由AI輔助生成,瀏覽時請結(jié)合常識與多方信息審慎甄別。
平臺聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點,簡書系信息發(fā)布平臺,僅提供信息存儲服務。

友情鏈接更多精彩內(nèi)容