i
Да и пасс можно указать для become
Size: a a a
2020 June 04
MK
Ага, скажи это компаниям, у которых штат админов больше одного человека)
Отвечает же компания перед клиентом? Клиенту не важно, кто из админов залез на сервер. Вот если админы из разных компаний начинают заразить, тут всё.
SP
Ансибл позволяет запросить пароль судо (это если ты запускаешь плейбуки интерактивно)
Ты плохому человека учишь. Потом придёт в чат по Ансиблу и спросит - ой, чот не работает у меня become с паролем.
MK
Ансибл позволяет запросить пароль судо (это если ты запускаешь плейбуки интерактивно)
А если на 10+ хостов?
S
А если на 10+ хостов?
А там учетка и пароли разные?
EK
Ага, скажи это компаниям, у которых штат админов больше одного человека)
не, ну то админы компании. а другое дело случайные админы
S
Ты плохому человека учишь. Потом придёт в чат по Ансиблу и спросит - ой, чот не работает у меня become с паролем.
Ну это будет уже следующая ступень 😄
MK
А там учетка и пароли разные?
Пароли у рута везде разные
S
Пароли у рута везде разные
А не надо под рутом ходить
SP
Ну это будет уже следующая ступень 😄
i
Ты плохому человека учишь. Потом придёт в чат по Ансиблу и спросит - ой, чот не работает у меня become с паролем.
все серверы по группам, во всех группах свой ansible_become_password
MK
Запускаю Ansible под adminx, он за счёт public/private key заходит всюду. Но вот ещё ж нужно стать root. Для этого и нужно sudo без пароля
S
Запускаю Ansible под adminx, он за счёт public/private key заходит всюду. Но вот ещё ж нужно стать root. Для этого и нужно sudo без пароля
Ну вот ты сам на свой вопрос и ответил) но в ансиболи можно и с паролем)
MK
Я к тому, можно ли как-то прописать, что через Sudo под этим аккаунтом без пароля может только Ansible ходить?
EK
Кстати, ансибл поддерживает разные тулзы для повышения: privilege escalation method to use (default=sudo), valid choices: [ sudo | su | pbrun | pfexec | doas | dzdo | ksu | runas | machinectl ]
S
Я к тому, можно ли как-то прописать, что через Sudo под этим аккаунтом без пароля может только Ansible ходить?
Сделать для него отдельную учётку?
EK
Я к тому, можно ли как-то прописать, что через Sudo под этим аккаунтом без пароля может только Ansible ходить?
ну для системы ансибл - просто юзер, система различает только учетки, да
MK
Сделать для него отдельную учётку?
👍
EK
фигово, что первоначальную настройку под ансибл приходится делать вручную. допустим, у тебя 100 серверов, тебе нужно настроить на них доступ для ансибла.
S
фигово, что первоначальную настройку под ансибл приходится делать вручную. допустим, у тебя 100 серверов, тебе нужно настроить на них доступ для ансибла.
В облаках такой проблемы нет)