Ansible: wie klont ein repository als andere user

Ich bin versucht, zu schreiben Bereitstellungen Regeln mit Ansible. Einige der Schritte sind:

  1. Update-und Upgrade-Server
  2. Erstellen Sie einen Benutzer mit dem Namen harry
  3. Hinzufügen Öffentliche und Private Schlüssel zu harry
  4. Clone a Git Repository aus bitbucket.org

Möchte ich Klonen Sie das repository wie harry Benutzer in seinem home-Verzeichnis (das ist, warum ich bin kopieren Sie den öffentlichen und den privaten Schlüssel). Das Problem ist, dass es nicht möglich ist, zum angeben eines Benutzers der git clone muss ausgeführt werden. So Ansible versuchen zu Klonen Sie das repository als root an und scheiterte, weil er nicht über die Rechte zum Zugriff auf das repository.

Wie lösen Sie diese ?

InformationsquelleAutor Alex Grs | 2015-07-26
  1. 19

    Als pro Ansible-Dokumentation Privilege-Escalation, Ansible Einschränkungen auf immer ein nicht berechtigter Benutzer, wie es entlarvt eine Sicherheitslücke zu Harry.

    Mithilfe der Ansible git Modul können Sie festlegen, verwenden Sie Harry ' s private key von der privilegierten Ansible-Benutzer über die key_file parameter, und mit become_user ermöglicht die geklonten Dateien zu gegeben werden, das Eigentum an Harry. Zum Beispiel:

    - name: Clone bitbucket repo
  git:
    repo: [email protected]:your-repo.git
    dest: /var/www/
    version: master
    accept_hostkey: yes
    key_file: /home/harry/.ssh/id_rsa
  become_user: harry
    • hinzufügen become: yes ist wichtig, denn wenn du root bist, dann wird das geklonte Verzeichnis wird root als gut, auch wenn Sie become_user: harry
    InformationsquelleAutor Willem van Ketwich
  2. 6

    Können Sie einen Benutzer angeben, der für jede Aufgabe in Ihrem playbook:

    - name: Clone bitbucket repo
  git: ...
  become: yes
  become_user: harry

    Weitere details siehe Ansible Privilege-Escalation.

    Eine sicherere alternative zu der Platzierung Ihres private key auf einem remote-server ist das aktivieren von ssh-key-Weiterleitung in der sshd-config auf dem server und dem ssh-config lokal. Der Schlüssel verlässt nie Ihren lokalen box.

    • Ich habe ssh-forwarding, und es funktioniert mit root. Aber es nicht scheint zu arbeiten mit become_user
    • SSH_AUTH_SOCK verloren mit become_user. Schlüssel-Weiterleitung kann nicht funktionieren, es sei denn, es ist konserviert. Vielleicht können Sie es hinzufügen, mit become_flags.
    • Wie @BenAtkin erwähnt, SSH_AUTH_SOCK verloren, aber selbst wenn Sie erhalten es in /etc/sudoers-Datei, Sie müssen auch harry Berechtigungen für den Zugriff auf die socket-Datei. serverfault.com/questions/107187/...
    InformationsquelleAutor udondan
  3. 1

    ja, können Sie machen Sie die Arbeit mit ssh forwarding

    solange die Benutzer, dass Sie sich in der git-clone ist Teil der sudoers, er braucht also nicht zu verwenden sudo ausführen git

    So, zusätzlich zu all den configs erforderlich für die Schlüssel weiterleiten, gibt es einen trick, dass auch in Ansible docs.
    High-level-Prozess ist wie folgt:
    aktivieren Sie agent-forwarding in die Steuerung der Maschine
    aktivieren Sie die Annahme-agent-key in der Ziel-Maschine
    erstellen Sie einen Benutzer und fügen Sie ihn (oder Sie:) in die sudoers Gruppe
    verwenden ansible ' s git-Modul zu Klonen, die repo geworden: Ihre-sudoer-user

    Auch, zu vermeiden, werden alle Berechtigungen verweigert auf dem host, nur Klonen, es in ~/etwas
    Sie können immer kopieren, oder symlink, um überall Sie wollen

    hier ist der link, wo das playbook-Teil hinzufügen Benutzer sudoers gezeigt wird, es ist im Grunde ein copy-paste: Ansible: erstellen Sie einen Benutzer mit sudo-Berechtigungen

    funktioniert wie ein Charme

    Also, stellen Sie sicher, fügen Sie Ihren öffentlichen SSH-Schlüssel in die Allgemeinen Einstellungen von BitBucket, nicht in die pro Projekt. Ansonsten dein ssh-key funktioniert nur auf einem speziellen repo. Aber wenn Sie fügen Sie die ssh-Schlüssel in das bitbucket Allgemeine Einstellungen, es funktioniert auf allen repos

    unten ist der code, dass macht es Arbeit, die suduer Benutzer "deployer"

    # the tasks to CREATE A SUDOER GROUP


- name: Make sure we have a 'wheel' group
    group:
      name: wheel
      state: present
    become: yes

  - name: Allow 'wheel' group to have passwordless sudo
    lineinfile:
      dest: /etc/sudoers
      state: present
      regexp: '^%wheel'
      line: '%wheel ALL=(ALL) NOPASSWD: ALL'
      validate: 'visudo -cf %s'
    become: yes

  - name: Add sudoers users to wheel group
    user: name=deployer groups=wheel append=yes state=present createhome=yes
    become: yes


 # tasks to ADD REPO with Ansible's GIT MODULE
  - name: Add  Git Repo - BitBucket 
    git:
      repo: '[email protected]:<your_username>/<your_repo>.git'
      dest: ~/code  # note this destination, you will avoid permissions issues
      accept_hostkey: yes # btw, this is for the ssh key forwarding
      recursive: no
    become: deployer # this guy (or gal) is a sudoer by now

    # Extra "hack" so ändern Sie Berechtigungen auf Dateien UND Ordnern in einem Durchgang, es hat zu tun mit dem Kapital X und wofür Sie gilt und was nicht. Auch abgeholt von einem anderen stackoverflow

    - name: Set perms on new Code repo to deployer:deployer dirs-0755 and files-0644
    file:
      path: ~/code
      state: directory
      owner: deployer 
      group: deployer 
      mode: u=rwX,g=rX,o=rX
      recurse: yes
    become: yes
    InformationsquelleAutor George Mogilevsky
  4. -1

    Ja mit ssh forwarding funktioniert es.
    Wenn Sie Ihr playbook hat "geworden: yes" aktiviert, Global, stellen Sie sicher, dass Sie diese Funktion deaktivieren, für die git-Aufgabe.
    Der Grund dafür, dass es nicht funktioniert, wenn du "geworden ist: ja", ist da root privilege escalation zerstört ssh-forwarding.
    Ich glaube nicht, dass Sie brauchen, um sich ein sudoer. Denn wenn Ihr Ansible Steuerung der Maschine authentifiziert, mit Bitbucket mit ssh-Schlüssel (den Sie hinzufügen ssh key zu dem repo-Geschäft), dann ist diese Authentifizierung Durchlaufen ssh-forwarding.
    Sie können es testen, indem Sie ssh in Ihrem Ziel und die Ausstellung "ssh -T [email protected]" Sie sehen in der Ausgabe, dass das Ziel angenommen, die von Bitbucket als Nutzer des Ansible-controlling-Maschine. So einfach führen Sie die Aufgabe, die explizit mit "geworden:" Nein".
    Ich bin über das Klonen in ~/etwas auf dem Ziel. Sonst wird es Probleme mit Berechtigungen.
    [Edit: eine weitere Sache, um zu machen es zu arbeiten - enthalten ⁃ Repo-URL sollten Sie die ssh eine nicht https, ohne ssh://(trotz allem, was geschrieben steht in dem Ansible Handbuch Beispiele)]
    So weit wie die Sicherheit, wie oben erwähnt, ssh-forwarding ist der beste.

    InformationsquelleAutor George Mogilevsky
Schreibe einen Kommentar