Как перезапустить конкретные сервисы linux через Ansible?

Question

Alex @DazmaLab

Как перезапустить конкретные сервисы linux через Ansible?

Здравствуйте.
Раньше c дебианом не работал. Столкнулся с проблемой перезапуска сервисов.

В Ansible использую следующую структуру:

- name: Reload service teleport, in all cases
  become: yes
  become_method: sudo
  ansible.builtin.systemd:
    name: teleport
    state: restarted

Получаю ошибку:

fatal: [teleport.kgsu.ru]: FAILED! => {
    "msg": "Missing sudo password"
}

Явно не хватает прав для выполнения команды.
На Debian установил sudo, В sudoers написал правила для запуска определенных сервисов без пароля:

my_user ALL=(root) NOPASSWD: /bin/systemctl restart teleport.service
my_user ALL=(root) NOPASSWD: /bin/systemctl status teleport.service

Если выполнять перезапуск в консоли из-под юзера, то сервис перезапускается, через Ansible та же самая ошибка о недостаточности прав.
sudo service teleport restart

В переменных пароль от рута хранить не хочу.
Что можно сделать?

Вопрос задан более года назад
702 просмотра

6 комментариев

Подписаться 1 Простой 6 комментариев

сергей кузьмин @sergueik

добавьте разрешенных комманд в sudoers для my_user или добавьте этого пользователя в группу admin или группу sudo

Написано более года назад
Valentin Barbolin @dronmaxman

Почему бы просто не заходить под root используя ключ ssh?

Написано более года назад
shurshur @shurshur

Просто используем --ask-become-pass при запуске ansible, либо делаем NOPASSWD в sudoers, либо логинимся сразу под root и не используем become вообще.

Написано более года назад
Alex @DazmaLab Автор вопроса

Valentin Barbolin, А можно разрешить руту подключаться по ключу если подключение под ним запрещено?

Написано более года назад
Valentin Barbolin @dronmaxman

Alex, На debian-ubuntu это конфигурация по умолчанию, root может захобиться только по ключу, достаточно скопировать свой ключ в /root/.ssh/authorized_keys.

Либо задавать пароль sudo в ключе при запуске playbook. Будет два запроса на пароль, сначала ssh потом sudo, второй раз вводить пароль не обязательно, можно просто нажать Enter и ansible возьмет пароль для sudo от ssh.
ansible-playbook debian-template.yml --ask-pass -i hosts -e "host=web" --user my_user --ask-become

Написано более года назад
Alex @DazmaLab Автор вопроса

Valentin Barbolin, Ключ скопировал сразу, но не выставил права на него. Сейчас работает как и привык, спасибо.

Написано более года назад

Решения вопроса 1

Комментировать

Пригласить эксперта

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

Linux

+1 ещё

Простой
Хочу заняться графической оболочкой для линукс. Есть ли какая-нибудь база дистрибутива?
- 1 подписчик
- 4 часа назад
- 77 просмотров
3

ответа
Linux

Средний
Linux на SSD рядом с Win10, на внешний HDD или виртуализация?
- 1 подписчик
- 14 часов назад
- 131 просмотр
6

ответов
Linux

+1 ещё

Простой
Что делать, если пишет «error: unknown filesystem Enering rescue mode... grub rescue>»?
- 1 подписчик
- вчера
- 108 просмотров
2

ответа
Linux

+3 ещё

Простой
Как вернуть обратно gnome 44 в Kali linux?
- 1 подписчик
- вчера
- 66 просмотров
0

ответов
Linux

+1 ещё

Средний
Astra Linux — как избавиться от шума в HDD?
- 2 подписчика
- вчера
- 329 просмотров
4

ответа
Linux

+2 ещё

Простой
Что выбрать для проекта Windows Embedded или Linux?
- 1 подписчик
- вчера
- 166 просмотров
4

ответа
Linux

+1 ещё

Средний
Как переименовать файлы и папки с одинаковым именем, но разным регистром?
- 1 подписчик
- вчера
- 111 просмотров
0

ответов
Linux

Простой
Почему не отрабатывает REISUB?
- 1 подписчик
- вчера
- 67 просмотров
1

ответ
Linux

+1 ещё

Средний
Как выглядят данные об авторизации linux?
- 1 подписчик
- 17 апр.
- 159 просмотров
2

ответа
Linux

+1 ещё

Простой
Как сделать автоматическую проверку работоспособности и рестарт Apache и Mariadb в случае падения?
- 1 подписчик
- 17 апр.
- 100 просмотров
2

ответа
Показать ещё Загружается…

Программист C для Embedded Linux

Radiofid • Санкт-Петербург

от 120 000 до 180 000 ₽

Linux Администратор DevOps

ИМАГ • Москва

от 150 000 до 170 000 ₽

Программист C/C++ embedded Linux

РТК Автоматика • Москва

от 170 000 до 250 000 ₽

[python,go] Залить ВИДЕО в тикток

19 апр. 2024, в 23:00

5000 руб./за проект

Разработка VST-плагина

19 апр. 2024, в 20:43

20000 руб./за проект

Нарисовать баннер для интернет-магазина

19 апр. 2024, в 20:35

500 руб./в час

добавьте разрешенных комманд в sudoers для my_user или добавьте этого пользователя в группу admin или группу sudo
Почему бы просто не заходить под root используя ключ ssh?
Просто используем --ask-become-pass при запуске ansible, либо делаем NOPASSWD в sudoers, либо логинимся сразу под root и не используем become вообще.
Valentin Barbolin, А можно разрешить руту подключаться по ключу если подключение под ним запрещено?
Alex, На debian-ubuntu это конфигурация по умолчанию, root может захобиться только по ключу, достаточно скопировать свой ключ в /root/.ssh/authorized_keys.

Либо задавать пароль sudo в ключе при запуске playbook. Будет два запроса на пароль, сначала ssh потом sudo, второй раз вводить пароль не обязательно, можно просто нажать Enter и ansible возьмет пароль для sudo от ssh.
ansible-playbook debian-template.yml --ask-pass -i hosts -e "host=web" --user my_user --ask-become
Valentin Barbolin, Ключ скопировал сразу, но не выставил права на него. Сейчас работает как и привык, спасибо.

Answer 1 · 2023-03-09 14:45:41

Потому что Ансибл при использовании модулей не пишет в терминале systemctl restart. У него все телодвижения происходят через врапперы, запускаемые местным питоном (см.).

Кривая альтернатива - делать перезапуск не через systemd, а через shell/command. Тогда точечные правила в судоерс проканают.

Почему бы не разрешить ансибловому пользователю запускать всё подряд через sudo без пароля? Главное, его SSH-ключ храните понадёжнее и всё.

Как перезапустить конкретные сервисы linux через Ansible?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт