我担心以纯文本格式存储解密密码的密码库文件,但无法找到任何解决方案。
今天,我使用ansible-vault加密命令来加密所有变量。然后,我创建了一个用于文件库密码的密码文件,并在ansible.cfg中将vault_password_file行指向该文件。我不想让ansible系统上的用户每次运行剧本时都被提示输入库密码,这就是我们选择此方法的原因。
这一切都很好,但是我担心文件中的密码以纯文本存储的事实。对我来说,它击败了加密其他信息的工作。我试图找到解决方案,但是找不到任何答案。
我想知道是否有任何方法可以哈希文件中的密码,从而仍然允许Ansible将其用于解密?
有人有我可以探索的解决方案吗?
答案 0 :(得分:0)
假设您使用的是源代码控制-那么您可以像现在一样将ansible_vault密码存储在文件中,但可以使用git-secret或blackbox(https://github.com/StackExchange/blackbox)来加密Vault密码文件。
git-secret专用于git,blackbox与git以及其他一些源代码控制提供程序配合使用。
使用黑盒,您可以添加用户公共密钥来加密文件,并且其中任何一个用户都可以解密文件。他们离开后,您只能删除他们的公钥,然后就无法再访问文件。
要在此基础上迈出一步,那就是评论中提到的专用秘密管理软件工具,但这是实施起来足够简单的中介步骤。