按照集团运维信息安全制度, 需要每3或6个月对线上服务器密码进行一次变更,通过shell脚本部署比较繁琐,所以决定采用ansible脚本对远程主机root密码进行批量重置,该脚本已经在稳定运行在正式环境下。具体方法如下:

1)  在服务端安装ansible

[root@ansible-server ~]# yum install -y ansible

2) 配置ansible到远程主机的ssh无密码登录的信任关系  (authoried_keys 模块)

首先采用Ansible批量建立ssh无密码登录的信任关系!!

[root@ansible-server ~]# ssh-keygen -t rsa          #一路回车

[root@ansible-server ~]# ls /root/.ssh/

id_rsa  id_rsa.pub

####################################################################################################

需要注意ssh建立互信的命令格式:

# ssh-copy-id -i ~/.ssh/id_rsa.pub username@ip或hostname

####################################################################################################

在客户机比较多的情况下,使用 ssh-copy-id命令的方法显然是有些费时,使用ansible-playbook 推送 ymal进行批量创建ssh互信关系就显得省事多了,

这里就使用到了ansible的authoried_keys 模块:

首先要配置ansible清单 (远程主机的密码这里为"123456")

[root@ansible-server ~]# vim /etc/ansible/hosts

................

................

[ssh-host]

172.16.60.204

172.16.60.205

172.16.60.206

172.16.60.207

[ssh-host:vars]

ansible_ssh_pass="123456"

####################################################################################################

发送公钥到目标机器命令格式如下:

# ansible ssh-host -m copy -a "src=/root/.ssh/id_rsa.pub dest=/root/.ssh/authorized_keys mode=600"

####################################################################################################

在上面分发密钥中,如果清单文件/etc/ansible/hosts里没有使用ansible_ssh_pass变量指明密码,则可以使用下面命令:

这里默认ssh-host组下的机器root密码都一样,使用-k 参数,回车输入root密码即可:

# ansible ssh-host -m authorized_key -a "user=root state=present key=\"{{ lookup('file', '/root/.ssh/id_rsa.pub') }} \"" -k

####################################################################################################

编写playbook文件

[root@ansible-server ~]# vim /opt/ssh_key.yaml

---

  - hosts: ssh-host

    user: root

    tasks:

     - name: ssh-copy

       authorized_key: user=root key="{{ lookup('file', '/root/.ssh/id_rsa.pub') }}"

注意上面yaml脚本中的"ssh-key-host"是在/etc/ansible/hosts清单文件里配置的远程客户机列表

这里做的是基于远程主机root用户的ssh互信

执行批量互信

[root@ansible-server ~]# ansible-playbook /opt/ssh_key.yaml

PLAY [ssh-host] ************************************************************************************************************************

TASK [Gathering Facts] *****************************************************************************************************************

ok: [172.16.60.204]

ok: [172.16.60.205]

ok: [172.16.60.206]

ok: [172.16.60.207]

TASK [ssh-copy] ************************************************************************************************************************

changed: [172.16.60.205]

changed: [172.16.60.204]

changed: [172.16.60.206]

changed: [172.16.60.207]

PLAY RECAP *****************************************************************************************************************************

172.16.60.204              : ok=2    changed=1    unreachable=0    failed=0

172.16.60.205              : ok=2    changed=1    unreachable=0    failed=0

172.16.60.206              : ok=2    changed=1    unreachable=0    failed=0

172.16.60.207              : ok=2    changed=1    unreachable=0    failed=0

最后验证下ssh互信

[root@ansible-server ~]# ansible -i /etc/ansible/hosts ssh-host -m shell -a "whoami"

172.16.60.204 | SUCCESS | rc=0 >>

root

172.16.60.205 | SUCCESS | rc=0 >>

root

172.16.60.207 | SUCCESS | rc=0 >>

root

172.16.60.206 | SUCCESS | rc=0 >>

root

这样,ansible批量创建到远程客户机的ssh信任关系已经实现了!

3) Ansible批量更新远程主机用户密码方法

方法一:  使用Ansible的user模块批量修改远程客户机的用户密码

由于在使用ansible修改用户密码的时候不能使用明文的方式,需要先加密,所以就需要使用一个方法对输入的明文的密码进行加密.

废话不多说了. 下面直接记录下操作方法:

[root@ansible-server ~]# vim /opt/root_passwd.yaml

---

  - hosts: ssh-host

    gather_facts: false

    tasks:

    - name: change user passwd

      user: name={{ item.name }} password={{ item.chpass | password_hash('sha512') }}  update_password=always

      with_items:

           - { name: 'root', chpass: 'kevin@123' }

           - { name: 'app', chpass: 'bjop123' }

注意上面在yaml文件中修改了远程客户机的root用户密码, app用户密码.

如果还想要修改其他用户密码, 则继续按照上面规则添加即可!

执行ansible-play

[root@ansible-server ~]# ansible-playbook /opt/root_passwd.yaml 

PLAY [ssh-host] ************************************************************************************************************************

TASK [change user passwd] **************************************************************************************************************

changed: [172.16.60.204] => (item={u'chpass': u'kevin@123', u'name': u'root'})

changed: [172.16.60.205] => (item={u'chpass': u'kevin@123', u'name': u'root'})

changed: [172.16.60.204] => (item={u'chpass': u'bjop123', u'name': u'app'})

changed: [172.16.60.205] => (item={u'chpass': u'bjop123', u'name': u'app'})

changed: [172.16.60.206] => (item={u'chpass': u'kevin@123', u'name': u'root'})

changed: [172.16.60.206] => (item={u'chpass': u'bjop123', u'name': u'app'})

changed: [172.16.60.207] => (item={u'chpass': u'kevin@123', u'name': u'root'})

changed: [172.16.60.207] => (item={u'chpass': u'bjop123', u'name': u'app'})

PLAY RECAP *****************************************************************************************************************************

172.16.60.204              : ok=1    changed=1    unreachable=0    failed=0

172.16.60.205              : ok=1    changed=1    unreachable=0    failed=0

172.16.60.206              : ok=1    changed=1    unreachable=0    failed=0

172.16.60.207              : ok=1    changed=1    unreachable=0    failed=0

方法二修改远程主机的单个用户密码使用此方法比较方便

编写playbook文件

[root@ansible-server ~]# vim /opt/root_passwd2.yaml

---

  - hosts: ssh-host

    gather_facts: false

    tasks:

    - name: Change password

      user: name={{ name1 }}  password={{ chpass | password_hash('sha512') }}  update_password=always

执行ansible-playbook,  使用-e参数传递用户名和密码给剧本,其中root为用户名,admin#123就是修改后的root密码

[root@ansible-server ~]# ansible-playbook /opt/root_passwd2.yaml -e "name1=root chpass=admin#123"            

PLAY [ssh-host] ************************************************************************************************************************

TASK [Change password] *****************************************************************************************************************

changed: [172.16.60.204]

changed: [172.16.60.205]

changed: [172.16.60.206]

changed: [172.16.60.207]

PLAY RECAP *****************************************************************************************************************************

172.16.60.204              : ok=1    changed=1    unreachable=0    failed=0

172.16.60.205              : ok=1    changed=1    unreachable=0    failed=0

172.16.60.206              : ok=1    changed=1    unreachable=0    failed=0

172.16.60.207              : ok=1    changed=1    unreachable=0    failed=0

方法三:  使用如下Ansible脚本, 适用于修改清单中部分远程主机的用户密码

编写ansible-playbook脚本 (需要注意下面脚本中"ens192"是客户机ip所在的网卡设备名称, 这个要根据自己实际环境去配置, 比如eth0, eth1等)

[root@ansible-server ~]# cat /opt/root_passwd4.yaml

- hosts: test-host

  remote_user: root

  tasks:

  - name: change password for root

    shell: echo '{{ item.password }}' |passwd --stdin root

    when: ansible_ens192.ipv4.address  == '{{ item.ip }}'

    with_items:

     - { ip: "172.16.60.220", password: 'haha@123' }

     - { ip: "172.16.60.221", password: 'kevin@123' }

     - { ip: "172.16.60.222", password: 'bobo@123' }

 执行ansible-playbook:

 [root@ansible-server ansible]# ansible-playbook /opt/root_passwd3.yaml

PLAY [ssh-host] ************************************************************************************************************************

TASK [Gathering Facts] *****************************************************************************************************************

ok: [172.16.60.204]

ok: [172.16.60.205]

ok: [172.16.60.206]

ok: [172.16.60.207]

TASK [change password for root] ********************************************************************************************************

 [WARNING]: when statements should not include jinja2 templating delimiters such as {{ }} or {% %}. Found: ansible_eth0.ipv4.address

== '{{ item.ip }}'

 [WARNING]: when statements should not include jinja2 templating delimiters such as {{ }} or {% %}. Found: ansible_eth0.ipv4.address

== '{{ item.ip }}'

skipping: [172.16.60.205] => (item={u'ip': u'172.16.60.204', u'password': u'haha@123'})

 [WARNING]: when statements should not include jinja2 templating delimiters such as {{ }} or {% %}. Found: ansible_eth0.ipv4.address

== '{{ item.ip }}'

skipping: [172.16.60.206] => (item={u'ip': u'172.16.60.204', u'password': u'haha@123'})

skipping: [172.16.60.206] => (item={u'ip': u'172.16.60.205', u'password': u'kevin@123'})

 [WARNING]: when statements should not include jinja2 templating delimiters such as {{ }} or {% %}. Found: ansible_eth0.ipv4.address

== '{{ item.ip }}'

skipping: [172.16.60.207] => (item={u'ip': u'172.16.60.204', u'password': u'haha@123'})

skipping: [172.16.60.207] => (item={u'ip': u'172.16.60.205', u'password': u'kevin@123'})

skipping: [172.16.60.207] => (item={u'ip': u'172.16.60.206', u'password': u'bobo@123'})

changed: [172.16.60.205] => (item={u'ip': u'172.16.60.205', u'password': u'kevin@123'})

skipping: [172.16.60.205] => (item={u'ip': u'172.16.60.206', u'password': u'bobo@123'})

changed: [172.16.60.204] => (item={u'ip': u'172.16.60.204', u'password': u'haha@123'})

skipping: [172.16.60.204] => (item={u'ip': u'172.16.60.205', u'password': u'kevin@123'})

skipping: [172.16.60.204] => (item={u'ip': u'172.16.60.206', u'password': u'bobo@123'})

changed: [172.16.60.206] => (item={u'ip': u'172.16.60.206', u'password': u'bobo@123'})

PLAY RECAP *****************************************************************************************************************************

172.16.60.204              : ok=2    changed=1    unreachable=0    failed=0

172.16.60.205              : ok=2    changed=1    unreachable=0    failed=0

172.16.60.206              : ok=2    changed=1    unreachable=0    failed=0

172.16.60.207              : ok=1    changed=0    unreachable=0    failed=0
如果ansible服务端没有和远程主机做ssh信任关系, 则可以在hosts清单配置里直接指明用户名和密码.

如果使用普通用户, 并且允许sudo, 则需要提前在客户机里的/etc/sudoers文件里配置好该普通用户的sudo配置, 即允许该普通用户有sudo权限.

[root@ansible-server ~]# vim /etc/ansible/hosts

................

[test-host]

172.16.60.220 ansible_ssh_user=root ansible_ssh_pass=123456 ansible_ssh_port=22

172.16.60.221 ansible_ssh_user=root ansible_ssh_pass=bo@123 ansible_ssh_port=22

172.16.60.222 ansible_ssh_user=app ansible_ssh_pass=bj@123 ansible_ssh_port=22 ansible_sudo_pass=bj@123

即172.16.60.222客户机上要提前配置, 允许app用户具有sudo权限.

执行:

[root@ansible-server ~]# ansible test-host -m shell -a "hostname"

172.16.60.222 | SUCCESS | rc=0 >>

k8s-node02

172.16.60.220 | SUCCESS | rc=0 >>

k8s-master01

172.16.60.221 | SUCCESS | rc=0 >>

k8s-node01

[root@ansible-server ~]# ansible -i /etc/ansible/hosts test-host -m shell -a "hostname"

172.16.60.222 | SUCCESS | rc=0 >>

k8s-node02

172.16.60.220 | SUCCESS | rc=0 >>

k8s-master01

172.16.60.221 | SUCCESS | rc=0 >>

k8s-node01

Ansible批量更新远程主机用户密码 (包括Ansible批量做ssh互信)的更多相关文章

  1. oracle 批量更新之将一个表的数据批量更新至另一个表

      oracle 批量更新之将一个表的数据批量更新至另一个表 CreationTime--2018年7月3日17点38分 Author:Marydon Oracle 将一个表的指定字段的值更新至另一个 ...

  2. Shell 批量修改主机 用户密码

    问题:132.121.114 和 132.121.118 网段共 48 台主机未添加基础监控,但是 wh 账户不能登录 需进行批量修改密码操作. 目前情况:op1对上述48台机器设备均能免密登录. 操 ...

  3. shell批量修改mysql用户密码

    需求 现在有这么一个需求, 需要大批量修改用户的密码, 需要注意的规则是: 必须添加的字符: *$#sjdKw% 用户名的第一位+*$#sjdKw%+用户名的最后一位,比如用户名chenglee,密码 ...

  4. MYSQL 处理批量更新数据的一些经验。

    首先,我们需要了解下MYSQL CASE EXPRESSION 语法. 手册传送门:http://dev.mysql.com/doc/refman/5.7/en/control-flow-functi ...

  5. oracle批量更新之使用游标进行分批次更新的5种方式及速度比对

      1.情景展示 一共有22w条数据, 需要将A表的主键更新至B表的指定字段,如何快速完成更新? 2.解决方案 声明: 解决方案不只一种,该文章只介绍快速游标法及代码实现: 两张表的ID和ID_CAR ...

  6. oracle 批量更新之update case when then

      oracle 批量更新之update case when then CreationTime--2018年8月7日15点51分 Author:Marydon 1.情景描述 根据表中同一字段不同情况 ...

  7. oracle 批量更新表字段

      (一) 将数字替换成汉字 第一步,去重查询 使用distinct关键字先对该字段值进行去重查询,看共有几种情况 --查询指定区间内表停诊字段的值 SELECT DISTINCT T.CLOSE_T ...

  8. EF结合SqlBulkCopy实现高效的批量数据插入 |EF插件EntityFramework.Extended实现批量更新和删除

    原文链接:http://blog.csdn.net/fanbin168/article/details/51485969   批量插入 (17597条数据批量插入耗时1.7秒)   using Sys ...

  9. MySql中4种批量更新的方法update table2,table1,批量更新用insert into ...on duplicate key update, 慎用replace into.

    mysql 批量更新记录 MySql中4种批量更新的方法最近在完成MySql项目集成的情况下,需要增加批量更新的功能,根据网上的资料整理了一下,很好用,都测试过,可以直接使用. mysql 批量更新共 ...

随机推荐

  1. 计算机爱好者协会技术贴markdown第三期

    之前都是给大家展示的对文本的基本操作,这一期我们要给大家展示的就是很高大上的东西了哦 看左边是不是超low,右边是不是瞬间高大上了!!! 一个简单的表格是这么创建的: 爱酱     | Value - ...

  2. oracle创建新用户和用户表空间

    .首先,创建(新)用户: create user username identified by password; username:新用户名的用户名 password: 新用户的密码 也可以不创建新 ...

  3. Redis讲解以及测试要点

    一.redis 简介 redis适合放一些频繁使用,比较热的数据,因为是放在内存中,读写速度都非常快,一般会应用在下面一些场景,排行榜.计数器.消息队列推送.好友关注.粉丝. 首先要知道mysql存储 ...

  4. ffmpeg源码编译安装(Compile ffmpeg with source) Part 2 : 扩展安装

    在Ubuntu,Debian,Mint上编译ffmpeg 本文主要为在Ubuntu,Debian和Mint上编译安装ffmpeg和库文件以及一些扩展的编解码器.当然这与从源中安装无关. 请首先看一下通 ...

  5. MySQL定时器

    MySQL的定时器是一个很有用的功能,有时候需要数据库自动根据时间进行一些必要的操作,此时定时器就派上了用场了. 一.查看MySQL版本号 select version(); 二.查看event的状态 ...

  6. java 的原码、补码、反码小总结

    先看一个代码吧: int h; return (key == null) ? 0 : (h = key.hashCode()) ^ (h >>> 16); 这个应该很熟悉吧,是 ja ...

  7. Linux启动流程和脚本服务-6

    授课笔记:----------------------------------- linux系统启动流程:一.初始化阶段:1.grub引导界面2.识别硬件3.初始化驱动 二.加载/etc/rc.d/r ...

  8. python的无限循环及退出

    题目要求如下: 1 循环验证用户输入的用户名与密码 2 认证通过后,运行用户重复执行命令 3 当用户输入命令为quit时,则退出整个程序  代码如下 person={'name':'Helen','p ...

  9. 「ZJOI2019」&「十二省联考 2019」题解索引

    「ZJOI2019」&「十二省联考 2019」题解索引 「ZJOI2019」 「ZJOI2019」线段树 「ZJOI2019」Minimax 搜索 「十二省联考 2019」 「十二省联考 20 ...

  10. eclipse的这几个小玩意

    scroll lock   滚动锁定 word wrap  自动换行 show console  when standard  out changes   标准输出更改时显示控制台 show cons ...