6 votes

Mikael avatar

Sécuriser l'utilisateur principal d'Ansible

Demandé el 3 de Septembre, 2014
Quand la question a-t-elle été
821 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Il semble qu'il n'y ait que deux approches raisonnables pour l'utilisateur principal d'Ansible :

  • 使用方法 root
  • En utilisant un autre utilisateur (par exemple, ansible ) con NOPASSWD sudo accès

La première option n'est pas envisageable car je crains de devoir garder PermitRootLogin sur. Donc, par défaut, la deuxième option semble être la solution.

Je pensais, au minimum, à /etc/ssh/sshd_config :

Match User ansible
    PasswordAuthentication No

Et limiter l'utilisation de la clé à l'hôte Ansible en utilisant l'option from option dans authorized_keys :

from="192.168.100/24"

D'autres idées ou problèmes/préoccupations concernant mes réflexions jusqu'à présent ?

Demandé el 3 de Septembre, 2014 par Mikael

Réponses

Trop de publicités?

3voto

Andrew Schulman avatar
Andrew Schulman Points 8341

Ce sont les mesures que j'utilise pour les clients qui doivent être gérés à distance par ssh (dans mon cas en utilisant BackupPC au lieu d'Ansible, mais cela fonctionne de la même manière).

Si vous utilisez ssh uniquement pour gérer les clients, et non pour l'accès à Shell, alors il améliorera la sécurité en ajoutant

AllowUsers ansible
PasswordAuthentication no
Répondu el 3 de Septembre, 2014 par Andrew Schulman (8341 Points )

0voto

ProfFalken avatar
ProfFalken Points 326

Vous pouvez avoir un compte d'utilisateur qui nécessite un mot de passe pour l'accès SUDO et fournir cette valeur au moment de l'exécution via la commande --ask-sudo-pass drapeau ( -K ) pour ansible-playbook

ansible-playbook -i inv/production -K playbook.yml

見る http://docs.ansible.com/playbooks_intro.html pour plus de détails

Répondu el 11 de Février, 2015 par ProfFalken (326 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X