我有 nginx 和 php 应用程序。我还在这台服务器上安装了 ansible 并复制了剧本。我想做的是通过 webapp 运行 ansible playbooks。我想知道如何以安全的方式进行。
Nginx 在用户 nginx 下运行,php-fpm 在 apache 下运行,ansible 有它自己的用户。PHP 应用程序位于 /var/www/html/ 中,而 ansible 剧本位于 /var/www/html/ansible 中,但这些目录对每个人都是可读的。
所以流程应该是这样的:
- 用户在网页上选择操作
- ajax 将其发送到 php
- php 准备 ansible 命令并运行 ansible playbook
- 可运行
- php 捕获 stdout&stderr 并将其作为 json 发送回网页
- ajax 将在网页上显示 stdout&stderr。
现在,在 php 脚本中,我计划执行('ansible-playbook site.yml -t ...')。这将作为 apache 用户执行。或者我应该在 ansible 的用户下使用 sudo 启动它吗?或者更好的是在nobody下启动nginx、php-fpm和ansible?
不知道什么是最好的。
谢谢你的意见。
Ansible 的现有 Web 界面包括:
如果您希望自己构建,请使用ansible-runner作为脚本/Python 库/容器来运行 Ansible。ansible-playbook 用于交互使用,没有稳定的 API。
在编写自己的东西之前,请了解这是一个特权应用程序,可以对您的基础设施做很多事情。您不受已安装 Web 服务器的默认安全模型的限制。
例如,您可以有一个作为其自己的专用用户运行的作业运行程序守护程序,与运行 Web 服务器的用户分开。这样,破坏用户 nginx 不会自动将 sudo 设置为 root,您还需要通过一些 API。
还要欣赏隔离正在运行的剧本的可能性。AWX 选择实施chroot 风格的作业隔离。
一般来说,开发一个安全、可用的 Web 应用程序对于一个答案来说是一个太大的话题,并且有更好的 Stack Exchange 站点用于开发主题。研究已经存在的东西。