Spécifier le mot de passe sudo pour Ansible

Comment puis-je spécifier un mot de passe sudo pour Ansible non-interactif?

Je suis en cours d'exécution Ansible playbook comme ceci:

$ ansible-playbook playbook.yml -i inventory.ini \
    --user=username --ask-sudo-pass

Mais je veux l'exécuter comme ceci:

$ ansible-playbook playbook.yml -i inventory.ini \
    --user=username` **--sudo-pass=12345**

Est-il un moyen? Je veux automatiser mon projet de déploiement autant que possible.

InformationsquelleAutor Slava Fomin II | 2014-02-19
  1. 149

    Vous pouvez passer de la variable sur la ligne de commande via --extra-vars "name=value". Sudo variable mot de passe est ansible_sudo_pass. Si votre commande devrait ressembler à:

    ansible-playbook playbook.yml -i inventory.ini --user=username \
                              --extra-vars "ansible_sudo_pass=yourPassword"

    Mise à jour en 2017: Ansible 2.2.1.0 utilise maintenant var ansible_become_pass. Soit semble fonctionner.

    • Du point de vue de sécurité, la meilleure réponse, si vous ajoutez les éléments suivants: history -c après l'exécution de la yml.
    • ajouter un espace supplémentaire au début de la ligne (en bash) qui sera le pas écrire la ligne de .bash_history.
    • Pas une bonne pratique pour passer dans les mots de passe en ligne de commande. Tout le monde sera en mesure de voir le mot de passe dans la liste des processus, tandis que la commande est en cours d'exécution...
    • Bon point. Oui, n'importe qui peut voir le processus complet de la liste par défaut. Mais qui peut et doit être changé par le montage /proc avec hidepid=2 unix.stackexchange.com/a/244357/194848
    • encore, il suffit de ne pas le faire. - demandez-sudo-pass
    • Comme beaucoup l'ont dit ci-dessus, ne mettez jamais votre mot de passe dans les commandes, en particulier sudo ceux. Je suis surpris de cette variable est prise en charge dans la première place. L'utilisation de celui-ci devrait être puni cruellement par ansible.
    • Il est parfaitement valable dans certaines situations: par exemple: Changement de la valeur par défaut est connu, mot de passe initial, pour injecter de l'utilisateur de la clé ssh publique... Pensez à la configuration initiale d'un fraîchement ré-imager système.

    InformationsquelleAutor Alexandr Nikitin
  2. 218

    Les docs fortement recommandons contre l'établissement de l'sudo mot de passe en clair, et au lieu d'utiliser --ask-sudo-pass sur la ligne de commande lors de l'exécution de ansible-playbook

    2016 mise à Jour:

    Ansible 2.0 (pas de 100%) a marqué --ask-sudo-pass comme obsolète. Les docs maintenant vous recommandons d'utiliser --ask-become-pass au lieu de cela, tout en changeant l'utilisation de sudo tout au long de votre tablettes playbook avec become.

    • Oui, je peux voir pourquoi il est recommandé. Cependant, lorsque nous utilisons Ansible, comme une partie du processus de déploiement, quel est le meilleur moyen d'automatiser cela? Il n'est pas très pratique pour s'arrêter au milieu du processus de déploiement et de demander à l'utilisateur d'entrer le mot de passe sudo.
    • Remarque: demandez-sudo-pass peut être abbrieviated à K, cependant, aussi loin que je peux voir, il n'y a pas moyen de gérer un playbook en cours d'exécution sur plusieurs serveurs avec différents mots de passe (il ne vous demande qu'une seule fois), donc je pense que sudo sans mot de passe est le moyen d'aller.
    • Ne semble pas fonctionner. mais la prochaine suggestion ("certains l'hôte ansible_sudo_pass= "foobar"") ne
    • - demandez-sudo-pass a été désapprouvée plus tôt, en 1.9
    • J'aimerais mise à jour de la réponse avec un lien vers la source si vous en avez un.
    InformationsquelleAutor deefour
  3. 101

    Probablement la meilleure façon de le faire - en supposant que vous ne pouvez pas utiliser la NOPASSWD solution fournie par scottod est d'utiliser Mircea Vutcovici de la solution en combinaison avec Ansible voûte.

    Par exemple, vous pourriez avoir un playbook quelque chose comme ceci: 

    - hosts: all

  vars_files:
    - secret

  tasks:
    - name: Do something as sudo
      service: name=nginx state=restarted
      sudo: yes

    Nous sommes ici, y compris un fichier appelé secret qui contiendra notre sudo mot de passe.

    Nous allons utiliser ansible-coffre-fort pour créer une version chiffrée de ce fichier:

    ansible-vault create secret

    Cela va vous demander un mot de passe, puis ouvrez votre éditeur par défaut pour modifier le fichier. Vous pouvez mettre votre ansible_sudo_pass ici.

    par exemple: secret:

    ansible_sudo_pass: mysudopassword

    Enregistrer et quitter, vous avez maintenant une chiffré secret fichier qui Ansible est capable de déchiffrer lorsque vous exécutez votre playbook. Remarque: vous pouvez modifier le fichier avec ansible-vault edit secret (et entrez le mot de passe que vous avez utilisé lors de la création du fichier)

    La dernière pièce du puzzle est de fournir de l'Ansible avec un --vault-password-file qui sera utilisé pour décrypter votre secret fichier.

    Créer un fichier appelé vault.txt et que mettre le mot de passe que vous avez utilisé lors de la création de votre secret fichier. Le mot de passe doit être une chaîne de caractères stockée sur une seule ligne dans le fichier.

    De l'Ansible Docs:

    .. s'assurer des autorisations sur le fichier sont telles que personne d'autre ne peut accéder à votre clé et ne pas ajouter de la clé de contrôle à la source

    Enfin: vous pouvez maintenant exécuter votre playbook avec quelque chose comme

    ansible-playbook playbook.yml -u someuser -i hosts --sudo --vault-password-file=vault.txt

    Le dessus est en supposant que le répertoire suivant la mise en page:

    .
|_ playbook.yml
|_ secret
|_ hosts
|_ vault.txt

    Vous pouvez en savoir plus sur Ansible Voûte ici: https://docs.ansible.com/playbooks_vault.html

    • Note: ansible 1.9, il semble que vous ne pouvez plus utiliser le ansible_sudo_pass (ou ansible_become_pass) de la variable: "fatal: [...] => absence de devenir le mot de passe"
    • Je suis l'aide de cette solution dans la production, jenkins magasins de la voûte mot de passe comme d'obfuscation variable d'environnement, écrit-il au moment de l'exécution dans un fichier temporaire et procède à l'appel ansible.
    • ou plus simplement: ansible-vault create group_vars/all/ansible.yml et ajouter ansible_sudo_pass: yourpassword là. Pas besoin de changer de tablettes playbook ou de l'inventaire
    • Essayé, mais j'ai eu cette erreur: fatal: [localhost]: FAILED! => {"changed": false, "failed": true, "module_stderr": "sudo: a password is required\n", "module_stdout": "", "msg": "MODULE FAILURE", "parsed": false}
    • A quoi bon un coffre-fort si vous stocker le mot de passe du coffre-fort dans la plaine de texte à droite à côté d'elle?
    • Ce que vous pourriez faire est de stocker le coffre-fort dans la RAM, par exemple /tmp/vault-passwd.txt - donc, vous avez juste besoin de le recréer sur le redémarrage de la machine semble un bon équilibre de risque et de commodité.
    • Type de retard pour répondre. Mais la bonne de la voûte est que chaque développeur peut ont leurs vault.txt fichier avec des clés de voûte de l'extérieur du référentiel qui obtient vérifié dans le contrôle de source. Et donc tous les secrets peuvent être cachés dans le référentiel et contrôlé dans github...à l'exception d'un mot de passe que les développeurs ont en quelque 600 autorisation fichier cachés dans leurs répertoires d'origine. Ou peut-être le Jenkins CI a caché dans ses informations d'identification.
    • Nous pouvons utiliser --ask-vault-pass au lieu

    InformationsquelleAutor toast38coza
  4. 45

    Regardant le code (runner/__init__.py), je pense que vous pouvez mettre dans votre fichier d'inventaire :

    [whatever]
some-host ansible_sudo_pass='foobar'

    Il semble y avoir une certaine disposition dans ansible.cfg fichier de config, mais n'est pas encore implémenté (constants.py).

    • Une excellente façon de configurer ce en toute sécurité serait de les stocker dans le host_vars ou group_vars répertoire puis crypter le fichier à l'aide de ansible-chapelle
    InformationsquelleAutor leucos
  5. 43

    Je ne pense pas que ansible vous permet de spécifier un mot de passe dans les drapeaux comme vous le souhaitez.
    Il y a peut-être quelque part dans les configs cela peut être réglé, mais cela ferait l'aide d'ansible moins en sécurité globale et ne serait pas être recommandé.

    Une chose que vous pouvez faire est de créer un utilisateur sur la machine cible et de leur accorder des privilèges sudo sans mot de passe, soit toutes les commandes ou une liste restreinte de commandes.

    Si vous exécutez sudo visudo et entrez une ligne comme ci-dessous, l'utilisateur 'privilegedUser' ne devraient pas avoir à entrer un mot de passe lors de l'exécution de quelque chose comme sudo service xxxx start:

    %privilegedUser ALL= NOPASSWD: /usr/bin/service
    • donc, vous êtes en approuvant une mauvaise pratique?
    • Je ne pense pas que ce soit une bonne idée. À l'aide de --demandez-sudo-pass fait sens pour moi.
    • cittadini je suis totalement d'accord qu'en fait, c'est la réponse que j'allais donner. Celui-ci est un risque pour la sécurité.
    • Il est à moins d'un risque pour la sécurité si vous utilisez sudo sans mot de passe à déployer à la mise en scène/prod, mais vous voulez utiliser ces réponses pour sauter d'avoir à saisir votre ordinateur portable connexion mot de passe lors du déploiement de votre localhost toutes les 15 minutes tous les jours tous les jours.
    • Comment voulez-vous ajouter cette ligne à l'aide d'Ansible?
    InformationsquelleAutor scottod
  6. 21

    La sudo mot de passe est stocké dans une variable appelée ansible_sudo_pass.
    Vous pouvez définir cette variable dans une quelques façons:

    Par hôte, dans votre inventaire fichier hosts (inventory/<inventoryname>/hosts) 

    [server]
10.0.0.0 ansible_sudo_pass=foobar

    Par groupe, dans votre inventaire groupes de fichier (inventory/<inventoryname>/groups)

    [server:vars]
ansible_sudo_pass=foobar

    Par groupe, dans le groupe de vars (group_vars/<groupname>/ansible.yml)

    ansible_sudo_pass: "foobar"

    Par groupe, chiffré (ansible-vault create group_vars/<groupname>/ansible.yml)

    ansible_sudo_pass: "foobar"
    InformationsquelleAutor Bouke Versteegh
  7. 17

    Vous pouvez définir le mot de passe pour un groupe ou pour tous les serveurs à la fois:

    [all:vars]
ansible_sudo_pass=default_sudo_password_for_all_hosts

[group1:vars]
ansible_sudo_pass=default_sudo_password_for_group1
    InformationsquelleAutor Mircea Vutcovici
  8. 13

    Je déchirait mes cheveux plus de ce, maintenant j'ai trouvé une solution qui fait ce que je veux:

    1 fichier chiffré par l'hôte contenant le mot de passe sudo

    /etc/ansible/hosts:

    [all:vars]
ansible_ssh_connection=ssh ansible_ssh_user=myuser ansible_ssh_private_key_file=~/.ssh/id_rsa

[some_service_group]
node-0
node-1

    puis vous créez pour chaque hôte chiffré var-fichier comme ceci:

    ansible-vault create /etc/ansible/host_vars/node-0

    avec le contenu

    ansible_sudo_pass: "my_sudo_pass_for_host_node-0"

    comment vous organiser le coffre-fort de mot de passe (entrée via-demandez-chapelle-pass) ou par cfg est à vous

    basé sur ce je soupçonne que vous pouvez simplement chiffrer l'ensemble du fichier hosts...

    • Le chiffrement à l'aide de la voûte qui fait le plus de sens pour moi, même si j'ai eu du mal à les utiliser avec ansible-playback. J'ai eu à utiliser -e @vault/filename.ext à utiliser le coffre-fort avec mon ansible-playbook appel.
    InformationsquelleAutor greenone83
  9. 8

    Un plus avisés façon de le faire est de stocker vos sudo mot de passe dans un coffre-fort sécurisé comme LastPass ou KeePass et puis la passer à ansible-playbook à l'aide de la -e@ mais au lieu de coder en dur le contenu dans un fichier existant, vous pouvez utiliser la construction -e@<(...) pour exécuter une commande dans un sous-shell, et de rediriger sa sortie (STDOUT) à un anonyme du descripteur de fichier, effectivement nourrir le mot de passe pour le -e@<(..).

    Exemple

    $ ansible-playbook -i /tmp/hosts pb.yml \
   -e@<(echo "ansible_sudo_pass: $(lpass show folder1/item1 --password)")

    Le dessus est en train de faire plusieurs choses, nous allons le décomposer.

    • ansible-playbook -i /tmp/hosts pb.yml - de toute évidence, l'exécution d'un playbook par ansible-playbook
    • $(lpass show folder1/item1 --password)" - exécute le LastPass CLI lpass et récupère le mot de passe à utiliser
    • echo "ansible_sudo_pass: ...password..." - prend la chaîne "ansible_sudo_pass:" et il se combine avec le mot de passe fourni par lpass
    • -e@<(..) - met ci-dessus ensemble, et relie le shell interne est exécuté de <(...) comme un descripteur de fichier pour ansible-playbook à consommer.

    D'autres améliorations

    Si vous préférez ne pas le type que chaque fois que vous pouvez tout simplement les choses comme si. D'abord créer un alias dans votre .bashrc comme suit:

    $ cat ~/.bashrc
alias asp='echo "ansible_sudo_pass: $(lpass show folder1/item1 --password)"'

    Vous pouvez maintenant exécuter votre playbook comme ceci:

    $ ansible-playbook -i /tmp/hosts pb.yml -e@<(asp)

    Références

    • À l'aide d'un shell interne est exécuté est une idée très intelligente! Pour ceux qui se demandent, voici à quoi il ressemble avec 1Password de la CLI: --extra-vars @<(echo ansible_become_pass: $(op get item <item name> | jq --raw-output '.details.sections[0].fields[] | select(.t=="password").v'))
    • J'aime cela parce que quand j'ai vérifié bach histoire, le mot de passe n'était pas exposé en texte clair. Probablement vrai aussi, c'est que si l'audit du système est activée, la commande est enregistrée comme la lecture d'un fichier, par exemple /dev/fd/63 et donc, par le mot de passe dans un fichier temp descripteur, ce n'est pas divulguée.
    InformationsquelleAutor slm
  10. 5

    Si vous êtes à l'aise avec le maintien de mots de passe dans des fichiers de texte brut, une autre option est d'utiliser un fichier JSON avec l' --extra-vars paramètre (assurez-vous d'exclure le fichier de contrôle de code source):

    ansible-playbook --extra-vars "@private_vars.json" playbook.yml

    Ansible, a souscrit à cette option depuis la 1.3.

    InformationsquelleAutor sidecarcat
  11. 5

    vous pouvez écrire sudo mot de passe pour votre playbook dans le fichier hosts comme ceci:

    [host-group-name]
host-name:port ansible_sudo_pass='*your-sudo-password*'
    InformationsquelleAutor user3343297
  12. 5

    Ansible vault a été suggéré une couple de fois ici, mais je préfère git-crypt pour le cryptage des fichiers sensibles dans mes tablettes playbook. Si vous utilisez git pour garder votre ansible tablettes playbook, c'est un clin d'œil. Le problème que j'ai trouvé avec ansible coffre-fort est que je finissent inévitablement à venir à travers les chiffrée des copies du fichier que je veux travailler avec et pour aller décrypter avant que je puisse travailler. git-crypt offre un meilleur flux de travail de l'OMI.

    En utilisant cela, vous pouvez mettre vos mots de passe dans un var dans votre playbook, et la marque de votre playbook comme un fichier crypté en .gitattributes comme ceci:

     my_playbook.yml filter=git-crypt diff=git-crypt

    Votre playbook seront cryptées de manière transparente sur Github. Ensuite, vous avez juste besoin d'installer votre clé de cryptage sur la machine que vous utilisez pour exécuter ansible, ou suivre les instructions sur la documentation à mettre en place avec gpg.

    Il y a une bonne Q&A sur le transfert des gpg des touches de votre ssh-agent transmet les clés SSH ici: https://superuser.com/questions/161973/how-can-i-forward-a-gpg-key-via-ssh-agent.

    InformationsquelleAutor user2432419
  13. 3

    Vous pouvez utiliser sshpass utilitaire comme ci-dessous,

    $ sshpass -p "your pass" ansible pattern -m module -a args \
   -i inventory --ask-sudo-pass
    InformationsquelleAutor Sachin
  14. 2

    Vous pouvez utiliser ansible vault qui sera le code de votre mot de passe cryptés la voûte. Après cela, vous pouvez utiliser la variable de voûte dans les tablettes playbook.

    Un peu de documentation sur ansible coffre-fort:

    http://docs.ansible.com/playbooks_vault.html

    Nous l'utilisons de voûte pour l'environnement. Pour modifier voûte de commande:

    ansible-vault edit inventories/production/group_vars/all/vault

    Si vous voulez l'appeler voûte de la variable que vous avez à utiliser ansible-playbook avec des paramètres tels que:

    ansible-playbook -s --vault-password-file=~/.ansible_vault.password

    Oui, nous sommes le stockage de voûte de mot de passe dans le répertoire local en texte brut, mais ce n'est pas plus dangereux comme store root mot de passe pour chaque système. Mot de passe de Root est à l'intérieur de la voûte fichier ou vous pouvez l'avoir comme sudoers pour votre utilisateur/groupe.

    Je le recommande d'utiliser sudoers fichier sur le serveur. Voici l'exemple pour le groupe admin:

    %admin ALL=(ALL) NOPASSWD:ALL

    InformationsquelleAutor maxo
  15. 2

    Il suffit d'appeler votre playbook avec --extra-vars "become_pass=Password"

    become_pass=('ansible_become_password', 'ansible_become_pass')

    InformationsquelleAutor Crypto
  16. 1

    À l'aide de ansible 2.4.1.0 et le suivant doit travailler:

    [all]
17.26.131.10
17.26.131.11
17.26.131.12
17.26.131.13
17.26.131.14

[all:vars]
ansible_connection=ssh
ansible_user=per
ansible_ssh_pass=per
ansible_sudo_pass=per

    Et il suffit d'exécuter la playbook avec cet inventaire que:

    ansible-playbook -i inventory copyTest.yml
    InformationsquelleAutor Hearen
  17. 1

    Mon hack pour automatiser cela a été d'utiliser une variable d'environnement et d'y accéder via --extra-vars="ansible_become_pass='{{ lookup('env', 'ANSIBLE_BECOME_PASS') }}'".

    De l'exportation d'un env var, mais éviter bash/shell histoire (faire précéder par un espace, ou d'autres méthodes). E. g.:

         export ANSIBLE_BECOME_PASS='<your password>'

    La recherche de l'env var en passant par les extra ansible_become_pass variable dans le ansible-playbook, E. g.:

    ansible-playbook playbook.yml -i inventories/dev/hosts.yml -u user --extra-vars="ansible_become_pass='{{ lookup('env', 'ANSIBLE_BECOME_PASS') }}'"

    Bonne alternative réponses:

    InformationsquelleAutor JPvRiel
  18. 0

    on Peut également Utiliser d'ATTENDRE BLOC dans ansible pour frayer bash et de le personnaliser selon vos besoins

    - name: Run expect to INSTALL TA
  shell: |
    set timeout 100
    spawn /bin/sh -i

    expect -re "$ "
    send "sudo yum remove -y xyz\n"

    expect "$ "
    send "sudo yum localinstall -y {{ rpm_remotehost_path_for_xyz }}\n"

    expect "~]$ "
    send "\n"

    exit 0
  args:
  executable: /usr/bin/expect
    InformationsquelleAutor Ashish Ranjan
  19. 0

    Très simple, et d'en ajouter dans le fichier de variable:

    Exemple:

    $ vim group_vars/all

    Et ajouter ceux-ci:

    Ansible_connection: ssh
Ansible_ssh_user: rafael
Ansible_ssh_pass: password123
Ansible_become_pass: password123
    • Merci, mais je pense que tu veux dire ansible_become_pass au lieu de Ansible_become_pass.
    InformationsquelleAutor rafaelrms
  20. 0

    Juste un additif, de sorte que personne d'autre ne passe par l'ennui que j'ai fait récemment:

    Autant que je sache, la meilleure solution est un le long de la ligne générale de toast38coza ci dessus. Si elle fait sens pour attacher vos fichiers de mot de passe et de votre playbook ensemble de manière statique, puis de suivre son modèle avec vars_files (ou include_vars). Si vous voulez les garder séparés, vous pouvez fournir le coffre-fort contenu sur la ligne de commande comme ceci:

    ansible-playbook --ask-vault-pass -e@<PATH_TO_VAULT_FILE> <PLAYBOOK_FILE>

    C'est évident, rétrospectivement, mais voici les astuces:

    1. Sanglant @ signe. Si vous le laissez sortir, l'analyse sera échoue silencieusement, et ansible-playbook va agir comme si vous n'avais jamais spécifié le fichier en premier lieu.

    2. Vous devez explicitement importer le contenu de la voûte, soit avec une ligne de commande --extra-vars/-e ou au sein de votre YAML code. Le --ask-vault-pass drapeau ne fait rien par lui-même (d'ailleurs vous invite pour une valeur qui peut ou ne peut pas être utilisé plus tard).

    Peut vous d'inclure votre "@"s et enregistrer une heure.

    InformationsquelleAutor Eric Anderson
  21. 0

    Après cinq ans, je vois que c'est encore un thème très actuel. Un peu de mise en miroir de leucos réponse que je trouve le mieux dans mon cas, à l'aide ansible outils uniquement (sans authentification centralisée, des jetons ou quoi que ce soit). Cela suppose que vous avez le même nom et la même clé publique sur tous les serveurs. Si vous n'avez pas, bien sûr, vous aurez besoin pour être plus précis et ajouter les variables correspondantes à côté des hôtes:

    [all:vars]
ansible_ssh_user=ansible
ansible_ssh_private_key_file=home/user/.ssh/mykey
[group]
192.168.0.50 ansible_sudo_pass='{{ myserver_sudo }}'

ansible-vault create mypasswd.yml
ansible-vault edit mypasswd.yml

    Ajouter:

    myserver_sudo: mysecretpassword

    Alors:

    ansible-playbook -i inv.ini my_role.yml --ask-vault --extra-vars '@passwd.yml'

    Au moins de cette façon vous n'avez pas à écrire de plus les variables qui pointent vers les mots de passe.

    InformationsquelleAutor Lethargos
  22. 0

    Solution ci-dessus par @toast38coza travaillé pour moi, juste que sudo: oui est obsolète dans Ansible maintenant.
    Utilisation devenir et become_user à la place.

    tasks:
 - name: Restart apache service
   service: name=apache2 state=restarted
   become: yes
   become_user: root
    InformationsquelleAutor Nätu
  23. -3

    Cela a fonctionné pour moi...
    Créé le fichier /etc/sudoers.d/90-init-les utilisateurs de fichiers avec NOPASSWD

    echo "user ALL=(ALL)       NOPASSWD:ALL" > 90-init-users

    où "utilisateur" est votre nom d'utilisateur.

    InformationsquelleAutor ScottM