我有一个 Ansible 剧本,用于在我们的环境中管理我们的 sudoers 文件。我们喜欢在 /etc/sudoers 中保留一个最小的 sudoers 文件,然后我们想要添加的任何内容都放在 /etc/sudoers.d 下的单独文件中。
我的 Ansible playbook 包含以下用于推送这些文件的任务:
- name: copy sudoers files
copy:
src: "{{ item }}"
dest: "/etc/sudoers.d/{{ item }}"
backup: yes
owner: root
group: root
mode: 0440
validate: /usr/sbin/visudo -cf %s
with_items:
- admins
- apache
- monitor
该任务包含一个 validate 子句,用于在提交文件之前确保文件有效,这通常运行良好。但是,今天我遇到了一个更新破坏 sudo 的问题。该文件通过了验证步骤,但包含一个与主 /etc/sudoers 文件中的 User_Alias 同名的 User_Alias。此后任何尝试运行 sudo 都会导致解析错误。
我的问题是——如何测试来自 Ansible 的 sudoers 文件的更新,以捕获这样的错误?文件到位后,可以通过运行来捕获错误visudo -c,但是将其作为验证步骤不起作用。Ansible 需要%s占位符,即使不需要,也会在将文件复制到位之前完成验证,这样visudo -c就不会捕获它。