Как правильно реализовать работу Ansible по SSH?

Question

[O Di]

Собсно сабж.
Вводные данные:
- Мой рабочий ПК с установленным на него Ansible. Для пользователя 'user1', под которым работаю, с помощью ssh-keygen сгенерирована пара ключей (без кодовой фразы) - id_rsa и id_rsa.pub.
- На сервера, на которых заведен такой же пользователь 'user1' (входит в группу sudoers), проброшен открытый ключ id_rsa.pub.
- Как результат - аутентификация "ssh 192.168.1.*" проходит по ключам (пароль не требуется).

На своем рабочем ПК прогоняю:
ansible all -m ping
приходит pong.

Иду дальше, хочу разом обновлять все сервера по типу дистрибутива - deb / rpm.
Обозначил их в /etc/ansible/hosts:

[deb:children]
vms
fileservers
[rpm:children]
gateway

Для deb создаю playbook "upgrade-deb-servers.yml" со следующим содержимым:

---
- hosts: deb
  sudo: true
  tasks:
  - name: update packages
    apt: update_cache=yes
  - name: upgrade packages
    apt: upgrade=dist

Пробую прогнать:

ansible-playbook upgrade-deb-server.yml
PLAY [deb] ******************************************************************** 

GATHERING FACTS *************************************************************** 
fatal: [192.168.1.230] => Missing sudo password
fatal: [192.168.1.231] => Missing sudo password
fatal: [192.168.1.232] => Missing sudo password
fatal: [192.168.1.222] => Missing sudo password

Логично, просит пароль. Добавляю ключ -K (он же --ask-sudo-pass, запрашивает пароль для root удаленной машины):
ansible-playbook -K upgrade-deb-server.yml
Запрашивает пароль, ввожу:

sudo password: 
PLAY [deb] ******************************************************************** 
GATHERING FACTS *************************************************************** 
ok: [192.168.1.230]
ok: [192.168.1.232]
ok: [192.168.1.231]
fatal: [192.168.1.222] => Incorrect sudo password
...
192.168.1.222              : ok=0    changed=0    unreachable=1    failed=0   
192.168.1.230              : ok=3    changed=0    unreachable=0    failed=0   
192.168.1.231              : ok=3    changed=0    unreachable=0    failed=0   
192.168.1.232              : ok=3    changed=0    unreachable=0    failed=0

Уже лучше, но на 192.168.1.222 у меня стоит другой пароль, поэтому введенный пароль не проходит.
Вопрос:

1. Как быть с хостом, у которого пароль к sudo отличается от других? (Запускать для него playbook отдельно? Или всё таки можно как-то обработать за один playbook в купе с остальными хостами?)
   
2. Как с точки зрения безопасности/удобства правильно реализовать работу Ansible по SSH?
   
3. Правильно ли я понял, что для работы Ansible подойдет только сгенерированные без кодовой фразы закрытый/открытый ключи через ssh-keygen?
   
4. По идеи, я могу сгенерировать пару ключей для root и раскидать их на сервера, но ведь с точки зрения безопасности за это можно дать себе и по рукам?
   

Answer 1

[O Di]

remote_user: user1

не? :D

Answer 2

[Пума Тайланд]

Пароли использовать в принципе нельзя, с учетом того что ансибл владеет доступом к системе на уровне рута у вас нет по сути другого способа, как использовать пользователя с судо на стороне настраиваемого сервера.
И да если вы профукали доступы к ансибл серверу вы профукали доступ ко всем серверам.
С точки зрения безопасности это вообще нормально, так как логично держать сервер ансибл без возможности внешнего доступа

Comments

[Пума Тайланд]

Предпочитаю чтобы все работало от отдельного юзера ansible с sudo
для амазона примерно вот так выглядит у меня
hosts: мойайпи
sudo: yes
user: ec2-user

[O Di]

То есть на машине с Ansible создаю пару ключей для пользователя root и пробрасываю их в /root/.ssh/authorized_keys на удаленные машины, которыми хочу рулить?
По поводу сервера - Ansible у меня на рабочей машине с Ubuntu установлен не совсем сервер, но работаю из неё, в том числе в интернете.

[Пума Тайланд]

Ну вы паритесь за какую то безопасность, а тут выдаете такое , в вашем случае судя по всему о безопасности никакой речи не идет.

[O Di]

Пума Тайланд: хм, странно, на мои:
hosts: deb
user: insiki
sudo: yes
Ответ при запуске:
PLAY [deb] ********************************************************************

GATHERING FACTS ***************************************************************
fatal: [192.168.1.230] => Missing sudo password
fatal: [192.168.1.231] => Missing sudo password
fatal: [192.168.1.232] => Missing sudo password
fatal: [192.168.1.222] => Missing sudo password

[Пума Тайланд]

Ну вы не разрешили ему делать судо без пароля и он вам об этом говорит, такое ощущение что вы не читаете ошибку

[O Di]

Пума Тайланд: я парюсь на виртуальном стенде :) Моя машина и машина с VM-гостями находятся в пределах одной локальной сети. Вопрос потому и задал, чтобы именно с точки зрения безопасности организовать работу Ansible. Одно уже усвоил - к машине, на которой стоит Ansible, нужно резать доступ во внешний мир, и наоборот.

[Пума Тайланд]

ну стандартно же описано в доке официальной, отдельный юзер ansible c sudo без пароля, подразумевается, что ключ доступа к нему вы потерять не можете.

[O Di]

Пума Тайланд: не могу сказать, что понял вас, поэтому попробую перечитать и доку, и вас. Но спасибо. Отредактировал и добавил вводные данные.

[Пума Тайланд]

Нельзя вводить каждый раз пароль, нужно юзать судо без пароля для отдельного пользователя ansible.

Answer 3

[Сергей Протько]

вы можете логин пароль в инвентори файл зашить а сам файл зашифровать в gpg (я так делаю собственно с ключами, вшиваю их в инвентори файл и шифрую). Еще можно поковыряться с ansible vault но это не сильно удобнее.

Comments

[O Di]

Хех. Уже лучше. Ушел читать про инвентори файл, заодно и памятку по SSH перечитаю.

Answer 4

[Анатолий Жучков]

# выполнить с правами пользователя
become: no 
# выполнить с правами супер пользователя
become: yes

Частая задача должна решаться просто. )