これは、公開キーをバッチでプッシュする正しい方法です。公開キーをバッチでプッシュする1つのコマンド。sshスクリプトメソッドは古くなっています。Ansibleが王様です。

その他 2020-10-25 06:08:44 訪問数: null

目的は、expectプログラムを使用せずに、リモートサーバーの任意のユーザーに公開キーをバッチでプッシュしてパスワードなしでログインすることです。つまり、初期化スクリプトを使用せずに、ansibleモジュールを使用してこれを行うことができます。

一般的な考え方は次のとおりです。

最初に暗号化されたファイルを作成し、使用する変数と値(つまり、リモートサービスに接続するためのsshユーザー名のパスワード)をこの暗号化されたファイルに編集します。後でそれを使用して、sshユーザーのパスワードが漏洩しないようにします。
このプレイブックで暗号化されたファイルを使用した後authorized_key、送信用のユーザー認証公開鍵で指定されたリモートホストへのモジュールの使用

1.仮注文方式

1最初に、相手のホスト公開鍵を検出しないように構成します

ではansible.cfg、次のファイルを設定

[defaults]
host_key_checking = False

2リモートホストのユーザーとパスワードをAnsibleリスト(リソースリスト)に追加します

# 远程服务器的 IP 或者可被本机解析的远程服务器的主机名  
127.0.0.1  ansible_ssh_user=test ansible_ssh_pass=123

3authorized_keyモジュールを使用して公開キーを送信します

ansible 127.0.0.1 -i hosts -m authorized_key -a "user=test state=present key={
    
    { lookup('file', '/root/.ssh/id_rsa.pub') }}"

モジュールオプション:

  • user リモートサーバーのこのユーザーとの信頼関係を確立するように指定します
  • state可能な値:
    -presentキーを追加します
    -absentパブリックを削除します-
    キーローカルユーザーのパブリックキー、設定するパブリックキールックアップファイルを見つける必要があります

入力結果は次のとおりです。

[root@VM-0-11-centos ~]# ansible 127.0.0.1 -i hosts -m authorized_key -a "user=test state=present key={
    
    { lookup('file', '/root/.ssh/id_rsa.pub') }}"
127.0.0.1 | CHANGED => {
    
    
    "ansible_facts": {
    
    
        "discovered_interpreter_python": "/usr/bin/python"
    },
    "changed": true,
    "comment": null,
    "exclusive": false,
    "follow": false,
    "key": "ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQCa91G2W5TcCUl10XAepJo8UNgj08RcyzUh3/FCPP1sM/0ZdZhRwB2wERJ7l9iZgzHEHgMm3VzOsjC+5Fme5Gtnbj187is9fFBKK1yWFUmmsEcfQLAUAdWq4zn2TkcHGnRLbHpDeZ+kNXZVe9UkSPCUTvfeoMo0cxnFdYkcJuKhX82V6YZctm3ltgx9mtLwEkj5mO1KCvtof2cEoDHwoQ+iFH4gNQ0rysGhADgKbGYnCTG64Kmw4yvsmHUOhEixU7B+Ff4lNauUATyR0whh4gXpUYR7VdnbZ3UnfYAd8QKIICrvYLM8EwEBcoZ3erAejq+/l7ckYx9bZrMBJfe+m/9d root@VM-0-11-centos",
    "key_options": null,
    "keyfile": "/home/test/.ssh/authorized_keys",
    "manage_dir": true,
    "path": null,
    "state": "present",
    "user": "test",
    "validate_certs": true
}

4テスト

[root@VM-0-11-centos ~]# ansible 127.0.0.1 -i hosts -m ping
127.0.0.1 | SUCCESS => {
    
    
    "ansible_facts": {
    
    
        "discovered_interpreter_python": "/usr/bin/python"
    },
    "changed": false,
    "ping": "pong"
}

二、プレイブック方式

プレイブックを使用して公開キーをプッシュする場合、リモートホストのパスワードを暗号化することもできます。

1暗号化されたファイルを作成します

ansible-vault createコマンドを使用して、を介して暗号化されたファイルを作成します。
暗号化されたファイルを復号化するためにパスワードを入力するように求められ、パスワードを2回入力し、デフォルトのviエディターを呼び出してこのファイルを編集します。その後、このファイルにデータ暗号化およびその他の変数を書き込み、保存して終了する必要がある場合があります。それでおしまい。

暗号化されたファイルを作成するコマンド:

[root@qfedu ~]# ansible-vault create vault-foo.yml
New Vault password:                         # 输入解密这个这文件的密码
Confirm New Vault password:            # 再次确认密码

コンテンツの編集:

ansible_ssh_pass: upsa

暗号化を確認します。

[root@xiuyun ~]# cat vault-foo.yml
$ANSIBLE_VAULT;1.1;AES256
36643038636237353237313537366136633865346165336366346530326633343530306637666262
3839353230363763376438396438393538343065363564370a343163306161643063333239306537
66616562613931396338336437656237366261376235326265383334363462646262303864633864
3962353863656633360a343863613337643239633136663631636462613132613763393638353866
35653661326264656130323165663031653430383934623135633539643661333434

2この暗号化されたファイルをプレイブックで使用します

プレイブック

[root@qfedu ~]# cat send-pubkey.yml
- hosts: all
  remote_user: root   # 连接远程主机的用户,密码就是加密文件中设置好的 ansible_ssh_pass 的值
  vars_files:
    - foo.yml    # 加密文件
  tasks:
  - name: Set authorized key taken from file
    authorized_key:    # 发送公钥的模块
      user: root            # 给这个用户发送公钥
      state: present
      key: "{
    
    { lookup('file', '/root/.ssh/id_rsa.pub') }}"    # 发送本地用户的公钥路径

3プレイブックを実行する

--ask-vault-passパラメータを使用して、復号化するパスワードを指定する必要があります

ansible-playbook -i hosts send-pubkey.yml --limit dbservers --ask-vault-pass
Vault password:

ansible.cfg構成ファイルのDEFAULT_VAULT_PASSWORD_FILE値がファイルを指している場合もあり、ファイルは復号化するためにパスワードで保存されます

vault_password_file = /path/to/vault_password_file

のこのプレイブック実行--ask-vault-passパラメータを使用しないでください

[root@xiuyun ~]# ansible-playbook -i hosts send-pubkey.yml --limit dbservers

PLAY [all] *********************************************************************

TASK [Gathering Facts] *********************************************************
ok: [172.18.0.3]

TASK [Set authorized key taken from file] **************************************
changed: [172.18.0.3]

PLAY RECAP *********************************************************************
172.18.0.3                 : ok=2    changed=1    unreachable=0    failed=0    skipped=0    rescued=0    ignored=0

4検証

[root@xiuyun ~]# ssh [email protected]  "hostname -i;ls ~/.ssh"
172.18.0.3
authorized_keys

5暗号化されたファイルの内容を変更します

この暗号化されたファイルを再度編集できます

暗号化されたファイルを復号化するには、パスワードを入力する必要があります。これは、作成時に入力したパスワードです。

[root@qfedu ~]# ansible-vault edit vault-foo.yml
Vault password:

このファイルは引き続き編集できます。

image.png

おすすめ

転載: blog.csdn.net/qq_22648091/article/details/108697801
おすすめ
ランキング
uni.request在接口状态码403等还是走success
Springboot は mybatisplus を統合しており、ページング クエリによって返される Page オブジェクトの合計は常に 0 です。
System.InvalidOperationExceptionが:「BuildWindowCoreは、子ウィンドウのハンドル搭乗を返しません。」
[Example 08] IPD system advancement: version naming rules for version management
カスタム NavigationBar -- UIView による描画
データとデータの移行を復元します(個人的なメモ、無用リーダー)
4. 2次元配列で検索する
vim的私人订制
Flutterのカスタムルーティング切り替えアニメーション
Javaコンテナの方法の簡単なアプリケーションのArrayList
アーカイブ
もっと
2024-05-12(27)
2024-05-11(31)
2024-05-10(33)
2024-05-09(30)
2024-05-08(18)
2024-05-07(34)
2024-05-06(6)
2024-05-05(0)
2024-05-04(18)
2024-05-03(8)

コードワールド

© 2018 codetd.com