我们的设备设置涉及一种安全方案,根据该方案,一个没有特殊特权(即不是sudoer)的用户是唯一可以通过SSH(仅使用pubkey身份验证)登录的用户。与标准Ubuntu系统类似,我们的操作系统还具有一个系统根用户,该用户从未显式地提供过密码,但是我们有一个具有sudo权限的特权用户。因此,更改系统的方法是使用su <privileged-user>,然后使用sudo命令进行更改。安装软件包。
现在,从我所看到的情况来看,在Ansible剧本中的become_method: sudo之后无法以某种方式使用become_method: su,因此对于我们的用户设置,似乎无法使用Ansible安装打包或修改系统配置文件,除了可能将become_method: su设置为特权用户,然后将每个任务写为shell: sudo <cmd>。由于这种破坏了ansible的目的,我想知道是否可以以其他方式建立这种两层特权提升方案。
注意:我们可以自由更改用户/权限结构,但这应视为最终比率,除非可以实现相当水平的安全性,同时允许通过ansible进行自动配置