Ansible将保管库密码文件传递到剧本

时间:2020-08-25 00:35:50

标签: ansible

我正在ansible剧本中运行shell命令,该命令需要密码才能完成。我已经生成了包含加密密码的Vault文件(test_vault.txt)。如何将其传递给我的剧本,以便当该剧本运行shell任务时,它将从我的保管库密码文件中获取加密的密码?我的ansible代码如下:

- name: run openssl
  shell: openssl rsa -in hostname.enc.key -text -noout

如果我在Linux提示符下运行此命令,则会得到:

Enter pw for hostname.enc.key:

然后我在这里输入密码。如何在test_vault.txt中将我的保管库密码传递到剧本?

2 个答案:

答案 0 :(得分:1)

openssl支持variety of ways来发送密码,但最简单的方法可能是通过-passin env:MY_AWESOME_PASSWORD,然后在environment:中为您的shell:设置密码< / p> 

- name: run openssl
  shell: openssl rsa -passin env:MY_AWESOME_PASSWORD -in hostname.enc.key -text -noout
  environment:
    MY_AWESOME_PASSWORD: hunter2

这确实带来了这样的风险,即计算机上具有检查其他进程的环境特权的任何人都将能够泄露密码。如果这是您担心的风险,则需要探索其他一些具有自己的威胁模型的密码通信方案。

答案 1 :(得分:0)

在文件pw_for_hostname_enc_key中,我们将变量test_vault.txt的密码为encrypted。例如

shell> cat test_vault.txt
pw_for_hostname_enc_key: 4PepNGRTyzA

shell> ansible-vault encrypt test_vault.txt
Encryption successful

shell> cat test_vault.txt
$ANSIBLE_VAULT;1.1;AES256
35306366336231663239373437646639336432383030373937353065343266346561653039643038
3931396535613135633735613733346635363761616361650a373133663438383862643733343732
38356363623138316534343364346535313539653065303739386538626265366532616539653163
6232363232383965630a323831333162646239303630643837313937356233336664343634313766
31343536656637373038363936306563363232633432386631663334383030316339326332646162
3334396364353862613933326131366433363232656432323961

然后测试剧本。参见Variable precedence: Where should I put a variable?。例如

shell> cat pb.yml
- hosts: localhost
  tasks:
    - include_vars: test_vault.txt
    - debug:
        var: pw_for_hostname_enc_key

给予(删节)

shell> ansible-playbook pb.yml 

ok: [localhost] => 
  pw_for_hostname_enc_key: 4PepNGRTyzA

如果正在运行,请在其他任务中使用它。例如

    - name: run openssl
      shell: "openssl rsa -in hostname.enc.key 
                          -passin pass:{{ pw_for_hostname_enc_key }}
                          -text -noout"

下一个选项是仅加密密码。例如

shell> cat test_vault.txt
4PepNGRTyzA

shell> ansible-vault encrypt test_vault.txt
Encryption successful

shell> cat test_vault.txt
$ANSIBLE_VAULT;1.1;AES256
65656363363364376130323365303363643662313939346635646630613230656630343239666130
3563396666663763393132626438336433646661656232660a333239363063383434313237363730
61633931666630616337636434326536333335353836306230333464383432656664336431343637
3961316237346430660a656666316333313936386136383732366539373961303466313236343061
3332

然后测试剧本。 lookup插件file会自动解密Vault加密的文件。例如,

- hosts: localhost
  tasks:
    - debug:
        var: pw_for_hostname_enc_key
      vars:
        pw_for_hostname_enc_key: "{{ lookup('file', 'test_vault.txt') }}"

给予(删节)

shell> ansible-playbook pb.yml

ok: [localhost] => 
  pw_for_hostname_enc_key: 4PepNGRTyzA

如果正在运行,请在其他任务中使用它。例如

    - name: run openssl
      shell: "openssl rsa -in hostname.enc.key 
                          -passin pass:{{ pw_for_hostname_enc_key }}
                          -text -noout"
      vars:
        pw_for_hostname_enc_key: "{{ lookup('file', 'test_vault.txt') }}"

此解决方案更安全,因为带有密码的变量的范围仅限于此单个任务。

相关问题
最新问题