Ansible 2.1.0 mit geworden/become_user nicht Berechtigungen auf die temp-Datei

Ich habe eine ansible 2.1.0 auf meinem server, wo ich die Bereitstellung über vagrant und auf PC zu.
Die Funktion "bereitstellen" haben :

- name: upload code
  become: true
  become_user: www-data
  git: [email protected]:****.git
     dest=/var/www/main
     key_file=/var/www/.ssh/id_rsa
     accept_hostkey=true
     update=yes
     force=yes
 register: fresh_code
 notify: restart php-fpm
 tags: fresh_code

In diesem Fall mit ansible 2.1.0 bekomme ich eine Fehlermeldung:

fatal: [default]: FAILED! => {"failed": true, "msg": "Failed to set permissions on the temporary files Ansible needs to create when becoming an unprivileged user. For information on working around this, see https://docs.ansible.com/ansible/become.html#becoming-an-unprivileged-user"}

Es ansible 2.0.1.0, die ich auf meinem PC ist alles normal - Ordner /var/www/habe den Ordner main mit Besitzer und Gruppe www-data

Wenn ich nur became_user: www-data und wenn ich become_method: sudo mit became_user: www-data - bekam ich denselben Fehler

Was tun müssen, um dieses Problem beheben?

InformationsquelleAutor DeamonMV | 2016-04-15

17

Das problem ist, dass www-data keinen Zugriff auf die gleichen Dateien mit dem default non-root ansible Benutzer erstellt, die Sie verwenden, um mit dem Rechner zu verbinden. Auch die Fehlermeldung zeigt deutlich, dass zu ansible Dokumentation, die beschreibt, welche Möglichkeiten Sie haben, um dieses Problem zu beheben, die beim aktualisieren von ansible 2.0 oder unten.

Schlagen Sie vor drei Möglichkeiten, um richtig zu beheben das Problem:
- Verwenden pipelining. Wenn pipelining aktiviert ist, Ansible nicht speichern Sie das Modul in eine temporäre Datei auf dem client. Stattdessen Pfeifen Sie das Modul an den remote-python-interpreter ist stdin. Pipelining funktioniert nicht für nicht-python-Module.
- Installieren filesystem mit acl-Unterstützung auf den verwalteten host. Wenn das temporäre Verzeichnis auf dem remote host gemountet ist mit Dateisystem-acls aktiviert und die setfacl-tool ist in der remote-PFAD dann Ansible verwenden Dateisystem-acls auf teilen der Modul-Datei mit dem zweiten Angreifer, anstatt die Datei von jedermann lesbar ist.
- Nicht eine Aktion durchführen, die auf der remote-Maschine, indem er ein lokaler Benutzer. Temporäre Dateien sind geschützt durch die UNIX-Datei Berechtigungen, wenn Sie sich als root, oder nicht nutzen werden. In Ansible 2.1 und höher, UNIX-Datei Berechtigungen sind auch sicher, wenn Sie die Verbindung zu der verwalteten Maschine als root an, und verwenden Sie dann werden Sie zu einem privilegierten account.
Oder wenn Sie kann nicht jedes dieser Updates, dann können Sie erzwingen, ansible zu laufen, ein bisschen unsicherer Weg (die Schienen werden standardmäßig in ansible 2 und unten), das sollte auch dein problem lösen, aber wäre das nicht zu beheben das zugrunde liegende Sicherheitsrisiko:

Wenn Sie nicht jede der oben genannten änderungen, das problem zu lösen und Sie entscheiden, dass die Maschine, die Sie sich sicher genug für die Module, die Sie ausführen möchten, es zu sein, die Welt lesbar, können Sie durch drehen auf allow_world_readable_tmpfiles im ansible.cfg - Datei. Einstellung allow_world_readable_tmpfiles wird diese Veränderung von einem Fehler in eine Warnung und, dass die Aufgabe ausgeführt wie vor 2.1.
- Danke für das replay. Für mich helfen die zweite Antwort. Ich installierte acl-tools und das problem beheben. Im playbook benutze ich become: true become_user: www-data und alles wird gut
- Die Installation der acl Modul auf Debian-Server (Option 2) war mit Abstand die einfachste Möglichkeit für mich, und das funktioniert auch, wenn Sie "verlassen, temp-Dateien auf dem server" aktiviert debugging. Ich gab auf, Ansible pipelining arbeiten (OS X 10.11 client, Debian 7 Server, habe versucht, verschiedene config-Datei ändert sich aber nichts funktionierte). Ich fand auch, dass mit dem "verbinden als root" - option lief in ein unbedeutender bug, wo die meisten das playbook wurde schweigend übergangen.
- Wenn Sie diese hard-to-Google-Symptome, wenn mit dem "verbinden als root" - Technik mit --ask-become-password (option 3), die Ursache ist das Problem - installieren Sie einfach die acl - Modul, um Sie zu beheben: "Playbook fragt nach sudo Passwort und verwendet es zu sudo (Sie Holen Sie sich ein Passwort Fehler wenn falsch geschrieben) aber dann beendet wird, ohne Fehler, nachdem Sie die [setup] implizite Aufgabe (die angezeigt wird, um erfolgreich zu sein)". Scheint wie eine Ansible 2.1.0 bug.
InformationsquelleAutor SztupY
45

Unter debian/ubuntu können Sie dies beheben, indem Sie zuerst die Installation der acl Paket auf dem remote-host, wie mit diesem ansible Aufgabe:
```
- name: install setfacl support
  become: yes
  apt: pkg=acl
```
Gleiche Sache mit redhat/centos -- installieren Sie die acl Paket auf dem remote-host:
```
- name: install setfacl support
  become: yes
  yum: name=acl
```
- Tut dies erfordern änderungen der fstab oder ein reboot?
- Nicht erfordern einen Neustart, in meinem Fall.
InformationsquelleAutor Justin Ludwig

Schreibe einen Kommentar

Du musst angemeldet sein, um einen Kommentar abzugeben.