Как перезапустить конкретные сервисы linux через Ansible?

Question

Alex @DazmaLab

Как перезапустить конкретные сервисы linux через Ansible?

Здравствуйте.
Раньше c дебианом не работал. Столкнулся с проблемой перезапуска сервисов.

В Ansible использую следующую структуру:

- name: Reload service teleport, in all cases
  become: yes
  become_method: sudo
  ansible.builtin.systemd:
    name: teleport
    state: restarted

Получаю ошибку:

fatal: [teleport.kgsu.ru]: FAILED! => {
    "msg": "Missing sudo password"
}

Явно не хватает прав для выполнения команды.
На Debian установил sudo, В sudoers написал правила для запуска определенных сервисов без пароля:

my_user ALL=(root) NOPASSWD: /bin/systemctl restart teleport.service
my_user ALL=(root) NOPASSWD: /bin/systemctl status teleport.service

Если выполнять перезапуск в консоли из-под юзера, то сервис перезапускается, через Ansible та же самая ошибка о недостаточности прав.
sudo service teleport restart

В переменных пароль от рута хранить не хочу.
Что можно сделать?

Вопрос задан более года назад
1147 просмотров

6 комментариев

Подписаться 1 Простой 6 комментариев

сергей кузьмин @sergueik

добавьте разрешенных комманд в sudoers для my_user или добавьте этого пользователя в группу admin или группу sudo

Написано более года назад
Valentin Barbolin @dronmaxman

Почему бы просто не заходить под root используя ключ ssh?

Написано более года назад
shurshur @shurshur

Просто используем --ask-become-pass при запуске ansible, либо делаем NOPASSWD в sudoers, либо логинимся сразу под root и не используем become вообще.

Написано более года назад
Alex @DazmaLab Автор вопроса

Valentin Barbolin, А можно разрешить руту подключаться по ключу если подключение под ним запрещено?

Написано более года назад
Valentin Barbolin @dronmaxman

Alex, На debian-ubuntu это конфигурация по умолчанию, root может захобиться только по ключу, достаточно скопировать свой ключ в /root/.ssh/authorized_keys.

Либо задавать пароль sudo в ключе при запуске playbook. Будет два запроса на пароль, сначала ssh потом sudo, второй раз вводить пароль не обязательно, можно просто нажать Enter и ansible возьмет пароль для sudo от ssh.
ansible-playbook debian-template.yml --ask-pass -i hosts -e "host=web" --user my_user --ask-become

Написано более года назад
Alex @DazmaLab Автор вопроса

Valentin Barbolin, Ключ скопировал сразу, но не выставил права на него. Сейчас работает как и привык, спасибо.

Написано более года назад

Решения вопроса 1

Комментировать

Пригласить эксперта

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы

Linux

+3 ещё

Средний
Как регистры SOC отображаются на память Linux?
- 1 подписчик
- 10 часов назад
- 69 просмотров
1

ответ
Linux

+2 ещё

Средний
Возможно написать аналог bash на PowerShell?
- 2 подписчика
- 23 часа назад
- 228 просмотров
5

ответов
Linux

+1 ещё

Простой
Как в Linux ограничить юзеру изменение панелей и тд?
- 1 подписчик
- вчера
- 97 просмотров
4

ответа
Linux

+1 ещё

Простой
Как подключить принтер Toshiba e-studio 223 на Astra Linux SE 1.7?
- 1 подписчик
- 19 нояб.
- 97 просмотров
2

ответа
Linux

+1 ещё

Простой
Какая утилита root доступа для Linux работает в консольном режиме без белого ip?
- 3 подписчика
- 19 нояб.
- 757 просмотров
7

ответов
Linux

Простой
Как корректно добавлять каталоги в linux для пользователя?
- 5 подписчиков
- 18 нояб.
- 1375 просмотров
1

ответ
Linux

+2 ещё

Простой
Где редактировать меню апплетов стандартной панели Cinnamon?
- нет подписчиков
- 16 нояб.
- 96 просмотров
1

ответ
Linux

Простой
Как в консольной команде получать год из даты в листинге файлов архива?
- 3 подписчика
- 15 нояб.
- 550 просмотров
1

ответ
Linux

+2 ещё

Простой
LPT внутрь виртуальной машины KVM?
- 3 подписчика
- 15 нояб.
- 672 просмотра
3

ответа
Linux

+2 ещё

Простой
Почему моё udev правило не дает использовать клавиатуру?
- 1 подписчик
- 15 нояб.
- 83 просмотра
1

ответ
Показать ещё Загружается…

Системный администратор Astra Linux

Гринатом • Новосибирск

До 60 000 ₽

Системный инженер (Windows/Astra Linux)

Гринатом • Новосибирск

До 57 000 ₽

Ведущий инженер Linux

Интер РАО – Управление сервисами • Москва

от 180 000 ₽

VPN приложение на IOS

21 нояб. 2024, в 19:28

200000 руб./за проект

Реализовать аналитику для Telegram ADS

21 нояб. 2024, в 19:09

5000 руб./за проект

Проектирование WEB ПО и составление ТЗ

21 нояб. 2024, в 17:47

7000 руб./за проект

добавьте разрешенных комманд в sudoers для my_user или добавьте этого пользователя в группу admin или группу sudo
Почему бы просто не заходить под root используя ключ ssh?
Просто используем --ask-become-pass при запуске ansible, либо делаем NOPASSWD в sudoers, либо логинимся сразу под root и не используем become вообще.
Valentin Barbolin, А можно разрешить руту подключаться по ключу если подключение под ним запрещено?
Alex, На debian-ubuntu это конфигурация по умолчанию, root может захобиться только по ключу, достаточно скопировать свой ключ в /root/.ssh/authorized_keys.

Либо задавать пароль sudo в ключе при запуске playbook. Будет два запроса на пароль, сначала ssh потом sudo, второй раз вводить пароль не обязательно, можно просто нажать Enter и ansible возьмет пароль для sudo от ssh.
ansible-playbook debian-template.yml --ask-pass -i hosts -e "host=web" --user my_user --ask-become
Valentin Barbolin, Ключ скопировал сразу, но не выставил права на него. Сейчас работает как и привык, спасибо.

Answer 1 · 2023-03-09 14:45:41

Потому что Ансибл при использовании модулей не пишет в терминале systemctl restart. У него все телодвижения происходят через врапперы, запускаемые местным питоном (см.).

Кривая альтернатива - делать перезапуск не через systemd, а через shell/command. Тогда точечные правила в судоерс проканают.

Почему бы не разрешить ансибловому пользователю запускать всё подряд через sudo без пароля? Главное, его SSH-ключ храните понадёжнее и всё.

Как перезапустить конкретные сервисы linux через Ansible?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт