Kevin Keane's questions

我经常创建和销毁虚拟机，并通过 SSH 连接到它们。

客户端和服务器端的操作系统都是 RedHat Enterprise Linux 版本 7 或 8（两者都有），当然还有 openssh 作为 SSH 服务器。

除非我使用 ssh-keyscan 预填充我的 known_hosts 文件，否则第一个 SSH 连接将始终报告缺少主机密钥。这当然是意料之中的。

然后我配置系统（通常使用 Ansible，但在 Ansible 运行之前我也观察到了这个问题），并且不可避免地每次重新连接时，SSH 都会报告其中一个主机密钥已更改。

Warning: the ED25519 host key for 'redacted' differs
from the key for the IP address 'redacted' Offending key for IP
in /redacted/.ssh/known_hosts:424 Matching host key in
/redacted/.ssh/known_hosts:362

我还检查了服务器端的 /etc/ssh，发现所有主机密钥都具有相同的时间戳，因此 ED25519 主机密钥实际上并没有改变。

-rw-r-----.  1 root ssh_keys  480 Aug  6 17:26 ssh_host_ecdsa_key
-rw-r--r--.  1 root root      162 Aug  6 17:26 ssh_host_ecdsa_key.pub
-rw-r-----.  1 root ssh_keys  387 Aug  6 17:26 ssh_host_ed25519_key
-rw-r--r--.  1 root root       82 Aug  6 17:26 ssh_host_ed25519_key.pub
-rw-r-----.  1 root ssh_keys 2.6K Aug  6 17:26 ssh_host_rsa_key
-rw-r--r--.  1 root root      554 Aug  6 17:26 ssh_host_rsa_key.pub

我希望了解为什么known_hosts 首先填充了与后续连接中使用的不同的 ED25519 密钥。

我不是在寻找“编辑您的 known_hosts 文件”性质的修复程序。我知道该怎么做（如果您想了解更多信息，请参阅如何修复有关 ECDSA 主机密钥的警告）。我有时在大规模（有时是数百个系统）上工作，这非常乏味。此外，在不了解密钥更改原因的情况下简单地操作 known_hosts 文件可能是一个安全问题。

相反，我正在寻找的是更深入地了解正在发生的事情，以及如何防止它发生，或者至少如何自动解决它（不影响安全性！）

受 Frank Thomas 启发的更新：

无论我是重复使用以前使用的 IP 地址还是新的 IP 地址（在我的情况下大多数都是新的），都会出现问题。

另一个可能相关的观察：在我的 known_hosts 文件中，rsa 和 edcsa 主机密钥与 FQDN 相关联。ed25519 主机密钥有两个条目。一个与 FQDN 相关联，而另一个与 IP 地址相关联。

问题似乎总是与 IP 地址关联的密钥版本有关。

有关如何填充 known_hosts 文件的更多详细信息：

首先，删除任何现有的 known_host 条目。getent hosts 主机名当然会返回 IP 地址和主机名。

for host in $h $(getent hosts $h)
do
  /usr/bin/ssh-keygen -R $host 2>&1 >/dev/null
done

然后检索新密钥：

/usr/bin/ssh-keyscan $h 2>/dev/null >> ~/.ssh/known_hosts

这只会按主机名填充 rsa 和 ED25519 主机密钥。

ECDSA 主机密钥和 IP 地址的 ED25519 密钥由第一个 SSH 连接填充。这似乎适用于 ECDSA 主机密钥，但显然不适用于 ED25519 密钥。

我希望通过从 RedHat Satellite 服务器进行 PXE 引导的配置与 Windows 部署服务器集成。

为此，我希望 WDS 的（非 UEFI）syslinux 引导加载程序加载另一个 EFI 引导加载程序（grub2/grubx64.efi）而不是 Linux 内核。这应该通过 TFTP 加载，因为待配置的系统尚未在硬盘上安装任何引导加载程序。

那可能吗？

背景：

在理想的 Satellite-only 设置中，Satellite 服务器喜欢控制 DHCP 来设置它自己的下一个服务器和文件选项。然后它通过 TFTP 加载其中一个 PXE 引导加载程序，进而启动内核。卫星服务器将操纵 DHCP 服务器来设置正确的引导加载程序（在我们的例子中，始终相同，grub2/grubx64.efi），并设置 grub 将使用的正确内核参数。

我们有一个混合环境，我们的 DHCP 将始终指向 syslinux 引导加载程序。我可以在 syslinux 菜单中添加一些东西，但我不能替换 syslinux。

天真的解决方案是在 syslinux 中复制内核命令行，但这不起作用，因为每个主机的内核命令行都不同（它包括 MAC 地址）。

因此，我需要一种方法让 syslinux 然后加载 grub2/grubx64.efi 加载程序，然后启动其余过程。

在我的 Ansible 剧本中，我需要更改很多文件的权限，但有几个子目录需要读写权限，而大多数需要只读。根据超级用户的另一个建议，我有这个解决方案：

- name: A few directories need group-write permissions
  file:
    path: "{{item}}"
    mode: "u+rwX,g+rwX,o+rX,o-w"
    recurse: True
  with_items:
    - /opt/myapp/path1/excludeddir1
    - /opt/myapp/path1/excludeddir2
    - /opt/myapp/path2/excludeddir1
    - /opt/myapp/path2/excludeddir2

- name: For performance, set a lot of directories directly
  file:
    path: "{{item}}"
    mode: "u+rwX,go+rX,go-w"
    recurse: True
  with_items:
    - /opt/myapp/path1/readonlydir1
    - /opt/myapp/path1/readonlydir2

#############################################
# This step generates a very large list
- name: Find all files in my directory
  find:
    paths:
      - "/opt/myapp/path1"
      - "/opt/myapp/path2"
    recurse: True
    file_type: any
    follow: False
  register: filestochange

#############################################
# This step is painfully slow
- name: Clear group-write permissions where needed
  file:
    path: "{{ item.path }}"
    mode: "u+rwX,go+rX,go-w"
    follow: False
  when:
    - not item.islnk
    - "'/opt/myapp/path1/excludeddir1' not in item.path"
    - "'/opt/myapp/path1/excludeddir2' not in item.path"
    - "'/opt/myapp/path2/excludeddir1' not in item.path"
    - "'/opt/myapp/path2/excludeddir2' not in item.path"
    - "'/opt/myapp/path1/readonlydir1' not in item.path
    - "'/opt/myapp/path1/readonlydir2' not in item.path
  loop: "{{ filestochange.files }}"
  loop_control:
    label: "{{ item.path }}"

涉及的子目录共有约10万个文件。

上面的代码可以工作，但毫不奇怪，速度慢得令人痛苦。最初的大部分天真的实现连续运行了两天。

我的第一个优化是为几个不需要任何异常的子目录设置权限，然后在循环中跳过它们。这在一定程度上有所帮助；现在时间缩短到一两个小时。

作为下一个优化，我想在 find 模块将其输入循环之前从列表中删除那些相同的条目，但我还没有找到这样做的方法。

文件模块确实有一个排除属性，但它似乎只匹配文件名，而不匹配目录名。

所以我正在寻找一种方法来从列表中删除与某些通配符模式匹配的项目。

当然，我也愿意接受任何其他如何进一步优化它的建议。

注意：这个天真的实现不起作用，因为它会重置然后设置权限。

- name: Set everything to G read-only
  file:
    path: "{{item}}"
    mode: "u+rwX,go+rX,go-w"
    recurse: True
  with_items:
    - /opt/myapp/path1
    - /opt/myapp/path2

- name: A few directories need group-write permissions
  file:
    path: "{{item}}"
    mode: "u+rwX,g+wrX,o+rX,o-w"
    recurse: True
  with_items:
    - /opt/myapp/path1/excludeddir1
    - /opt/myapp/path1/excludeddir2
    - /opt/myapp/path2/excludeddir1
    - /opt/myapp/path2/excludeddir2

我想弄清楚如何使用 Ansible 在目录树上设置权限，以便默认值为 644（当然，目录为 755），但需要 664/775 权限的目录除外。

天真的实现是这样的：

file:
    path: "mypath"
    mode: "u+rwX,go+rX,go-w"
    recurse: True

file:
    path: "mypath/exception"
    mode: "g+w"
    recurse: True

但是，这显然不是幂等的。每次运行时，mypath/exception 都会删除组写入权限，然后立即重新添加。

另一种方法是枚举 mypath/* 中的每个单独的子目录，我希望避免这种情况。

还有另一种方法可以以幂等的方式实现这一点吗？