D
Подключаться к хосту по ssh, не зная его ip, для того, чтобы узнать его ip...
Нет, я плейбукой делаю на хосте сеть, и если ip будет изменён, я не буду рестартить сеть
Size: a a a
2021 March 24
VZ
Хотя. Посмотрите, пожалуйста, на моё решение. Может подскажите как лучше делать?
"Старшие" решили, что надо бы за безопасность взяться. Ну решили и решили. Выдвинули мне задачу.
Имеется:
- Пачка серверов (количество может изменяться. Убираться, добавляться)
- HashiCorp Vault
Что надо:
- Отключать логин рута
- Изменить порт SSH
- Создать sudo пользователя, под которым будут выполняться дальнейшие действия
Что думаю:
Получаю креды серверов с vault, в которых есть что-то вроде 'root_password', 'super_password', 'super_username'. Дальше (пока не знаю как, но что-то придумаю), проверяю, есть ли super креды. Если нету - создать пользователя и внести в vault.
Ну, а дальше уже делать свою магию
Это лишь 'первая мысль'. Если есть советы / подзатыльники / предложения / критика - буду очень рад, если поделитесь
"Старшие" решили, что надо бы за безопасность взяться. Ну решили и решили. Выдвинули мне задачу.
Имеется:
- Пачка серверов (количество может изменяться. Убираться, добавляться)
- HashiCorp Vault
Что надо:
- Отключать логин рута
- Изменить порт SSH
- Создать sudo пользователя, под которым будут выполняться дальнейшие действия
Что думаю:
Получаю креды серверов с vault, в которых есть что-то вроде 'root_password', 'super_password', 'super_username'. Дальше (пока не знаю как, но что-то придумаю), проверяю, есть ли super креды. Если нету - создать пользователя и внести в vault.
Ну, а дальше уже делать свою магию
Это лишь 'первая мысль'. Если есть советы / подзатыльники / предложения / критика - буду очень рад, если поделитесь
Изменить порт SSH- скажите им, что они ебобо. Безопастности это не даст, а выстрелов в ногу много Начиная с того, что при изменение порта , что то может пойти не так
NT
Изменить порт SSH- скажите им, что они ебобо. Безопастности это не даст, а выстрелов в ногу много Начиная с того, что при изменение порта , что то может пойти не так
Ну, я могу попытаться возразить. Но, авторитета в компании пока маловато, поэтому 'делай и ниипёт'
SP
Изменить порт SSH- скажите им, что они ебобо. Безопастности это не даст, а выстрелов в ногу много Начиная с того, что при изменение порта , что то может пойти не так
Безопасность через неясность - огонь, да.
VZ
Ну, я могу попытаться возразить. Но, авторитета в компании пока маловато, поэтому 'делай и ниипёт'
ну так учитесь и боритесь
YZ
Хотя. Посмотрите, пожалуйста, на моё решение. Может подскажите как лучше делать?
"Старшие" решили, что надо бы за безопасность взяться. Ну решили и решили. Выдвинули мне задачу.
Имеется:
- Пачка серверов (количество может изменяться. Убираться, добавляться)
- HashiCorp Vault
Что надо:
- Отключать логин рута
- Изменить порт SSH
- Создать sudo пользователя, под которым будут выполняться дальнейшие действия
Что думаю:
Получаю креды серверов с vault, в которых есть что-то вроде 'root_password', 'super_password', 'super_username'. Дальше (пока не знаю как, но что-то придумаю), проверяю, есть ли super креды. Если нету - создать пользователя и внести в vault.
Ну, а дальше уже делать свою магию
Это лишь 'первая мысль'. Если есть советы / подзатыльники / предложения / критика - буду очень рад, если поделитесь
"Старшие" решили, что надо бы за безопасность взяться. Ну решили и решили. Выдвинули мне задачу.
Имеется:
- Пачка серверов (количество может изменяться. Убираться, добавляться)
- HashiCorp Vault
Что надо:
- Отключать логин рута
- Изменить порт SSH
- Создать sudo пользователя, под которым будут выполняться дальнейшие действия
Что думаю:
Получаю креды серверов с vault, в которых есть что-то вроде 'root_password', 'super_password', 'super_username'. Дальше (пока не знаю как, но что-то придумаю), проверяю, есть ли super креды. Если нету - создать пользователя и внести в vault.
Ну, а дальше уже делать свою магию
Это лишь 'первая мысль'. Если есть советы / подзатыльники / предложения / критика - буду очень рад, если поделитесь
Яб начал с выпиливания любого хашикопровского гуано из инфры. Ну это личная рекомендация
VZ
@nazar_tertyshnyi все остальное норма
D
Приветы!
Глупый вопрос. Хочу вычленить ip по которому происходит непосредственно ssh-подключение с целевым хостом.
Я его вычленяю через
но стоит вычленять его при выполнении плейбуки, так этого параметра и нет.
Причём вызываю дебаг hostvars и ansible_facts целиком после gather_facts: true и модуля setup, так
Как быть?
Глупый вопрос. Хочу вычленить ip по которому происходит непосредственно ssh-подключение с целевым хостом.
Я его вычленяю через
ansible -m setup в переменной SSH_CONNECTION,но стоит вычленять его при выполнении плейбуки, так этого параметра и нет.
Причём вызываю дебаг hostvars и ansible_facts целиком после gather_facts: true и модуля setup, так
SSH_CONNECTION там и близко нет.Как быть?
.
VZ
На хосте может быть много разных сетей и мне надо брать на сравнение именно тот, по которому я конекчусь ансиблом
а можно полностью задачу, а то она уже тут изменилось во время разговора в очередной раз
NT
Яб начал с выпиливания любого хашикопровского гуано из инфры. Ну это личная рекомендация
Чего так?
NT
@nazar_tertyshnyi все остальное норма
Спасибо
AN
ну я не знаю , что там у вас Но да Там не перезагрузку нажна, а логаут Учите как работает система
я знаю! но вы не внимательно читали мой вопрос, как мне кажется - я потом вручную по SSH вхожу и выполняю спокойно эти команды.
если я после ручного входа/выхода снова запущу плейбук - бесполезно, все равно пермишн денайд.
если я после ручного входа/выхода снова запущу плейбук - бесполезно, все равно пермишн денайд.
VZ
@nazar_tertyshnyi у меня в целом так и начинается раскатка Пользователя от которого работает ansible, потом sudo
VZ
я знаю! но вы не внимательно читали мой вопрос, как мне кажется - я потом вручную по SSH вхожу и выполняю спокойно эти команды.
если я после ручного входа/выхода снова запущу плейбук - бесполезно, все равно пермишн денайд.
если я после ручного входа/выхода снова запущу плейбук - бесполезно, все равно пермишн денайд.
потому, что у вас новый логин , а не в рамках одного логина
VZ
вы можете это все руками на машине сделать и удивитесь как это работает
VZ
sudo usermod -aG docker "$USER"
VZ
а потом docker ps
VZ
и будет ошибка пока не будет logout
YZ
Хотя. Посмотрите, пожалуйста, на моё решение. Может подскажите как лучше делать?
"Старшие" решили, что надо бы за безопасность взяться. Ну решили и решили. Выдвинули мне задачу.
Имеется:
- Пачка серверов (количество может изменяться. Убираться, добавляться)
- HashiCorp Vault
Что надо:
- Отключать логин рута
- Изменить порт SSH
- Создать sudo пользователя, под которым будут выполняться дальнейшие действия
Что думаю:
Получаю креды серверов с vault, в которых есть что-то вроде 'root_password', 'super_password', 'super_username'. Дальше (пока не знаю как, но что-то придумаю), проверяю, есть ли super креды. Если нету - создать пользователя и внести в vault.
Ну, а дальше уже делать свою магию
Это лишь 'первая мысль'. Если есть советы / подзатыльники / предложения / критика - буду очень рад, если поделитесь
"Старшие" решили, что надо бы за безопасность взяться. Ну решили и решили. Выдвинули мне задачу.
Имеется:
- Пачка серверов (количество может изменяться. Убираться, добавляться)
- HashiCorp Vault
Что надо:
- Отключать логин рута
- Изменить порт SSH
- Создать sudo пользователя, под которым будут выполняться дальнейшие действия
Что думаю:
Получаю креды серверов с vault, в которых есть что-то вроде 'root_password', 'super_password', 'super_username'. Дальше (пока не знаю как, но что-то придумаю), проверяю, есть ли super креды. Если нету - создать пользователя и внести в vault.
Ну, а дальше уже делать свою магию
Это лишь 'первая мысль'. Если есть советы / подзатыльники / предложения / критика - буду очень рад, если поделитесь
1) юзер модулем создаешь нужных тебе судо пользователей 2) грузиш темлейт sshd 3) хандлером рестартишь sshd. момент с проверять не очень догнал