主页 / computer / 问题 / 1722412
Accepted
alexanderadam
Asked: 2022-05-23 12:30:24 +0800 CST

(重新)在 Ansible 上使用用户输入启动 systemd 单元

  • 772

gocryptfs这样的工具在与 systemd 结合使用时具有一些优势,因为可以轻松定义依赖关系、状态和权限。

由于它需要密码,它要么需要系统上的纯文本文件,要么需要使用systemd-ask-password. 通常首选标准输入变体,因为纯文本文件中的密码短语有一些缺点。

虽然Ansible 有一个 systemd 模块,但它似乎无法直接插入此类参数。

因此,我很好奇在使用 Ansible 时,使用密码输入处理服务(重新)重启的首选方式是什么。

会做类似这个伪代码的事情

- name: Start GoCryptFs
  systemd:
    name: gocryptfs
    state: started
    daemon_reload: true
    args:
      stdin: "{{ gocryptfs_password }}"
ansible systemd

1 个回答

  1. Best Answer

    配置gocryptfs以使用 option -extpass CMD。引用man gocryptfs

    使用外部程序(如 ssh-askpass)来提示密码。该程序应在标准输出上返回密码,尾随换行符被 gocryptfs 剥离。

    例如,在远程主机上创建一个脚本,该脚本返回变量gocryptfs_password的值

    shell> ssh admin@test_11 sudo cat /root/bin/gocryptfs-extpass.sh
#!/bin/sh
echo ${gocryptfs_password}

    也可以通过 Ansible 实现自动化

        - file:
        state: directory
        path: /root/bin
        owner: root
        group: wheel
        mode: '0755'
    - copy:
        dest: /root/bin/gocryptfs-extpass.sh
        owner: root
        group: wheel
        mode: '0700'
        content: |
          {{ '#' }}!/bin/sh
          echo ${gocryptfs_password}

    将密码放入控制器的文件中并加密

    shell> cat vault/test_11/gocryptfs_password.yml 
gocryptfs password at test_11

    下面的剧本从文件中读取密码并为命令设置环境

    shell> cat pb.yml
- hosts: test_11
  vars:
    gocryptfs_password_file: "vault/{{ inventory_hostname }}/gocryptfs_password.yml"
  tasks:
    - command: /root/bin/gocryptfs-extpass.sh
      register: result
      environment:
        gocryptfs_password: "{{ lookup('file', gocryptfs_password_file) }}"
      no_log: true
    - debug:
        var: result.stdout


    ok: [test_11] => 
  result.stdout: gocryptfs password at test_11

    如果您设法将gocryptfs配置为使用-extpass /root/bin/gocryptfs-extpass.sh下面的任务应该可以完成这项工作

    - name: User systemctl import environment gocryptfs_password
  command: systemctl --user import-environment gocryptfs_password

- name: Start GoCryptFs
  systemd:
    name: gocryptfs
    state: started
    daemon_reload: true
  environment:
    gocryptfs_password: "{{ lookup('file', gocryptfs_password_file) }}"
  no_log: true

    (未测试)

    笔记

    • 该方案应通过大部分安全要求:

      • 加密密码远程存储
      • 密码的传输是加密的
      • 密码的范围仅限于单个任务

    • 适当设置gocryptfs_password的值。有很多选择。例如,使用密码存储。然后,使用community.general.passwordstore查找插件而不是ansible.builtin.file

      environment:
    gocryptfs_password: "{{ lookup('community.general.passwordstore',
                                   'test_11/gocryptfs_password' }}"

       shell> ansible-doc -t lookup community.general.passwordstore

       shell> systemctl --user import-environment gocryptfs_password
    • 请参阅正确的 Bash 和 shell 脚本变量大写。引用:“如果它是您的变量,则将其小写。如果您将其导出,则将其大写。......对范围为单个脚本或块的所有变量使用'蛇形大小写'(所有小写和下划线)。”
    • 2

相关问题