Ansible: Como alterar a senha raiz do servidor MySQL reprovisionando o servidor

O problema que você tem é que o Ansible está tentando usar a mesma senha de root para fazer login, pois você deseja alterá-la para:

- name: Set root user password
  mysql_user: name=root
              host="{{ item }}"
              password="{{ mysql_root_password }}"
              check_implicit_admin=yes
              login_user="{{ mysql_user }}"
              login_password="{{ mysql_root_password }}"
              state=present

Obviamente, isso nunca funcionará se você quiser usar esse jogo para alterá-lo.

Em vez disso, você deve alterar o jogo acima para algo como:

- name: Set root user password
  mysql_user: name=root
              host="{{ item }}"
              password="{{ mysql_root_password }}"
              check_implicit_admin=yes
              login_user="{{ mysql_user }}"
              login_password="{{ mysql_old_root_password }}"
              state=present

E, em seguida, atualize os arquivos de inventário relevantes para adicionar essa nova variável.

Então o seu group_vars/productionagora deve conter:

mysql_old_root_password: productionpw
mysql_root_password: newproductionpw

Parece que este manual usa a senha de root no roles/mariadb/tasks/main.ymlmanual e também roles/wordpress-setup/tasks/database.yml, então, você pode querer executar o manual inteiro server.ymlpara garantir que ele esteja configurado corretamente.

Você pode fazer mau uso de ~/.my.cnf para poder alterar a senha-raiz do mysql.

O truque é ter uma tarefa "Set root password" (nr.1), que irá definir a senha. Depois, você tem uma tarefa, que cria um ~/.my.cnf com as credenciais corretas (nr.2).

Em um novo sistema, ~/.my.cnf não está presente. A tarefa nr.1 criará mysql-root-user com as credenciais fornecidas. Em um sistema atual, as credenciais de ~/.my.cnf são usadas para fazer login e definir a senha para mysql_root_password . A tarefa nr.2 criará ~/.my.cnf , ou substituirá as credenciais antigas existentes ~/.my.cnf por novas.

A grande vantagem desta abordagem é ter apenas uma variável "mysql_root_password", que é sempre a correta do ponto de vista de um playbook. No(s) sistema(s) atual(is), ~/.my.cnf é um tipo de armazenamento para credenciais mysql locais atuais.

- name: Set root user password
  # If .my.cnf already exists, this will cause an mysql-root-password update.
  mysql_user:
    name: root
    password: "{{ mysql_root_password}}"
    check_implicit_admin: true

- name: Create .my.cnf
  template:
   src: "client.my.cnf.j2"
   dest: "/root/.my.cnf"
   owner: root
   group: root
   mode: 0600

com client.my.cnf.j2:

[client]
user=root
password={{ mysql_root_password }}

Leitura adicional

Notas relevantes de ansible-mysql_user_module-documentation :

• Nota 1:

  Para proteger esse usuário como parte de um playbook idempotente, você deve criar pelo menos duas tarefas: a primeira deve alterar a senha do usuário root, sem fornecer detalhes de login_user/login_password. O segundo deve descartar um arquivo ~/.my.cnf contendo as novas credenciais raiz. As execuções subsequentes do manual serão bem-sucedidas lendo as novas credenciais do arquivo. ansible-mysql_user_module, notas

• Nota 2:

  Ambos login_password e login_user são necessários quando você está passando credenciais. Se nenhum estiver presente, o módulo tentará ler as credenciais de ~/.my.cnf e, finalmente, voltará a usar o login padrão do MySQL de 'root' sem senha. ansible-mysql_user_module, notas

Para a próxima pessoa que vier à procura de respostas por aqui. Embora a resposta aceita seja verdadeira, você deve ser mais diligente se estiver usando o MySQL 5.7 porque não há login anônimo permitido no mysqld no modo daemonizado (serviço). Em vez disso, você DEVE raspar o /var/log/mysqld.log para obter uma senha TEMPORÁRIA que alguém decidiu criar e usá-la no login_password=ydaetskcoR. Esse foi um recurso que eles decidiram implementar na versão 5.7 do repositório dev, portanto, se você quiser evitá-lo, use uma versão mais antiga (5.6).

Documentação aqui: https://dev.mysql.com/doc/refman/5.7/en/server-options.html#option_mysqld_initialize-insecure

http://mysqlserverteam.com/initialize-your-mysql-5-7-instances-with-ease/

Dê uma olhada neste Módulo Ansible, ele fornece uma maneira fácil e idempotente para mysql_secure_installationo Ansible

Exemplo - com uma nova instalação do MySQL

- name: test mysql_secure_installation
  mysql_secure_installation:
    login_password: ''
    new_password: password22
    user: root
    login_host: localhost
    hosts: ['localhost', '127.0.0.1', '::1']
    change_root_password: true
    remove_anonymous_user: true
    disallow_root_login_remotely: true
    remove_test_db: true
  register: mysql_secure

# To see detailed output
- debug:
    var: mysql_secure

Exemplo - Alterar uma senha de root existente

- name: test mysql_secure_installation
  mysql_secure_installation:
    login_password: password22
    new_password: password23
    user: root
    login_host: localhost
    hosts: ['localhost', '127.0.0.1', '::1']

Para uso : Tudo o que você precisa fazer é criar um diretório chamado libraryno seu playbooks or role's dire copiar mysql_secure_installation.pypara ele,

você pode encontrar um exemplo completo no seguinte Link

https://github.com/eslam-gomaa/mysql_secure_installation_Ansible

Existe um playbook Ansible usado para proteger o MySQL.

https://github.com/dev-sec/ansible-mysql-hardening

Isso não apenas alterou a senha do root, mas também executa algumas etapas adicionais para proteger o servidor.

Dê uma olhada no arquivo leia-me.