Ansible playbook Vault 加密详解与使用案例

主机规划

添加用户账号

说明:

1、 运维人员使用的登录账号;

2、 所有的业务都放在 /app/ 下「yun用户的家目录」,避免业务数据乱放;

3、 该用户也被 ansible 使用,因为几乎所有的生产环境都是禁止 root 远程登录的(因此该 yun 用户也进行了 sudo 提权)。

 # 使用一个专门的用户,避免直接使用root用户
# 添加用户、指定家目录并指定用户密码
# sudo提权
# 让其它普通用户可以进入该目录查看信息
useradd -u -d /app yun && echo '' | /usr/bin/passwd --stdin yun
echo "yun ALL=(ALL) NOPASSWD: ALL" >> /etc/sudoers
chmod /app/

Ansible 配置清单Inventory

之后文章都是如下主机配置清单

 [yun@ansi-manager ansible_info]$ pwd
/app/ansible_info
[yun@ansi-manager ansible_info]$ cat hosts_key
# 方式1、主机 + 端口 + 密钥
[manageservers]
172.16.1.180: [proxyservers]
172.16.1.18[:]: # 方式2:别名 + 主机 + 端口 + 密码
[webservers]
web01 ansible_ssh_host=172.16.1.183 ansible_ssh_port=
web02 ansible_ssh_host=172.16.1.184 ansible_ssh_port=
web03 ansible_ssh_host=172.16.1.185 ansible_ssh_port=

Ansible Vault 概述

当我们写的 playbook 中涉及敏感信息,如:数据库账号密码;MQ账号密码;主机账号密码。这时为了防止这些敏感信息泄露,就可以使用 vault 进行加密。

 [yun@ansi-manager ~]$ ansible-vault -h
Usage: ansible-vault [create|decrypt|edit|encrypt|encrypt_string|rekey|view] [options] [vaultfile.yml] Options:
--ask-vault-pass ask for vault password
-h, --help show this help message and exit
--new-vault-id=NEW_VAULT_ID
the new vault identity to use for rekey
--new-vault-password-file=NEW_VAULT_PASSWORD_FILE
new vault password file for rekey
--vault-id=VAULT_IDS the vault identity to use
--vault-password-file=VAULT_PASSWORD_FILES
vault password file
-v, --verbose verbose mode (-vvv for more, -vvvv to enable
connection debugging)
--version show program's version number, config file location,
configured module search path, module location,
executable location and exit See 'ansible-vault <command> --help' for more information on a specific
command.

参数说明

create:创建一个加密文件,在创建时会首先要求输入 Vault 密码,之后才能进入文件中编辑。

decrypt:对 vault 加密的文件进行解密。

edit:对 vault 加密文件进行编辑。

encrypt:对提供的文件,进行 vault 加密。

encrypt_string:对提供的字符串进行 vault 加密。

rekey:对已 vault 加密的文件进行免密更改,需要提供之前的密码。

view:查看已加密的文件,需要提供密码。

Ansible Vault 交互式

创建加密文件

 [yun@ansi-manager object06]$ pwd
/app/ansible_info/object06
[yun@ansi-manager object06]$ ansible-vault create test_vault.yml
New Vault password: # 输入密码
Confirm New Vault password: # 确认密码
---
# vault test
- hosts: proxyservers tasks:
- name: "touch file"
file:
path: /tmp/with_itemstestfile
state: touch [yun@ansi-manager object06]$ cat test_vault.yml # 加密后查看
$ANSIBLE_VAULT;1.1;AES256 6138353833366637383066366662666236666338333237610a303263336234303866623834663361 6262633334353036620a633136313364383536323531373164346436663739663631353166663434

对已加密的文件进行解密

 [yun@ansi-manager object06]$ ansible-vault decrypt test_vault.yml
Vault password:
Decryption successful
[yun@ansi-manager object06]$
[yun@ansi-manager object06]$ cat test_vault.yml # 解密后查看
---
# vault test
- hosts: proxyservers tasks:
- name: "touch file"
file:
path: /tmp/with_itemstestfile
state: touch

对已存在文件进行加密

 [yun@ansi-manager object06]$ ansible-vault encrypt test_vault.yml
New Vault password:
Confirm New Vault password:
Encryption successful
[yun@ansi-manager object06]$ cat test_vault.yml
$ANSIBLE_VAULT;1.1;AES256 3930343836396537343333336432363732343936323937370a363239356233333634303464633539 6334333162616332320a353033323538643566666562646334623630343938646264663561316566

对已加密的文件进行编辑

 [yun@ansi-manager object06]$ ansible-vault edit test_vault.yml
Vault password:
---
# vault test ==
- hosts: proxyservers tasks:
- name: "touch file"
file:
path: /tmp/with_itemstestfile
state: touch

对已加密文件更改密码

 [yun@ansi-manager object06]$ ansible-vault rekey test_vault.yml
Vault password:
New Vault password:
Confirm New Vault password:
Rekey successful

对已加密文件进行查看

 [yun@ansi-manager object06]$ ansible-vault view test_vault.yml
Vault password:
---
# vault test ==
- hosts: proxyservers tasks:
- name: "touch file"
file:
path: /tmp/with_itemstestfile
state: touch

对提供的字符串进行加密

 [yun@ansi-manager object06]$ ansible-vault encrypt_string "111 222 333"
New Vault password:
Confirm New Vault password:
!vault |
$ANSIBLE_VAULT;1.1;AES256 6537336166356466666431663037623835643964366137340a336439313066356265666636383430 3034326337303932610a303232643464633239383563393836306565353835666431363132303835 Encryption successful

Ansible Vault 非交互式

创建密码文件

安全使用,记得使用 400 或 600 权限。

 [yun@ansi-manager object06]$ echo "" > vault_pwd
[yun@ansi-manager object06]$ echo "" > vault_pwd2
[yun@ansi-manager object06]$ ll vault_pwd* # 权限
-r-------- yun yun Aug : vault_pwd
-r-------- yun yun Aug : vault_pwd2

创建加密文件

 [yun@ansi-manager object06]$ ansible-vault create test_vault02.yml --vault-password-file=vault_pwd
---
# vault test
[yun@ansi-manager object06]$ cat test_vault02.yml
$ANSIBLE_VAULT;1.1;AES256 6638666536306162366263333037323231386365316238390a383139623435363738663832623533 6131313833383761620a383534363564393836306238666135656137623036386531653931623362

对已加密的文件进行解密

 [yun@ansi-manager object06]$ ansible-vault decrypt test_vault02.yml --vault-password-file=vault_pwd
Decryption successful
[yun@ansi-manager object06]$ cat test_vault02.yml
---
# vault test

对已存在文件进行加密

 [yun@ansi-manager object06]$ ansible-vault encrypt test_vault02.yml --vault-password-file=vault_pwd
Encryption successful
[yun@ansi-manager object06]$
[yun@ansi-manager object06]$ cat test_vault02.yml
$ANSIBLE_VAULT;1.1;AES256 3533393766313339393665386463613831323366623962650a643365653833636663653938613966 3638363937626635390a303962653366353138373139623237356637656230386565663364626438

对已加密的文件进行编辑

 [yun@ansi-manager object06]$ ansible-vault edit test_vault02.yml --vault-password-file=vault_pwd
---
# vault test ##

对已加密文件更改密码

 [yun@ansi-manager object06]$ ansible-vault rekey test_vault02.yml --vault-password-file=vault_pwd --new-vault-password-file=vault_pwd2
Rekey successful

对已加密文件进行查看

 [yun@ansi-manager object06]$ ansible-vault view test_vault02.yml --vault-password-file=vault_pwd2
---
# vault test ##

对提供的字符串进行加密

 [yun@ansi-manager object06]$ ansible-vault encrypt_string "test info" --vault-password-file=vault_pwd2
!vault |
$ANSIBLE_VAULT;1.1;AES256 6633363733303334373831303732326435396566313066630a373562633530333832613335393835 6636396135306436640a313531373835663633383665396139343464613861313034386365393137 Encryption successful

Playbook 使用 vault 文件

 # 其中 test_vault.yml 的 vault 密码为 vault_pwd 中的信息
[yun@ansi-manager object06]$ ansible-vault view test_vault.yml --vault-password-file=vault_pwd
---
# vault test ==
- hosts: proxyservers tasks:
- name: "touch file"
file:
path: /tmp/with_itemstestfile
state: touch [yun@ansi-manager object06]$ ansible-playbook -b -i ../hosts_key --syntax-check test_vault.yml --vault-password-file=vault_pwd # 语法检测
[yun@ansi-manager object06]$ ansible-playbook -b -i ../hosts_key -C test_vault.yml --vault-password-file=vault_pwd # 预执行,测试执行
[yun@ansi-manager object06]$ ansible-playbook -b -i ../hosts_key test_vault.yml --vault-password-file=vault_pwd # 执行

完毕!


———END———
如果觉得不错就关注下呗 (-^O^-) !

Ansible playbook Vault 加密的更多相关文章

  1. Ansible playbook API 开发 调用测试

    Ansible是Agentless的轻量级批量配置管理工具,由于出现的比较晚(13年)基于Ansible进行开发的相关文档较少,因此,这里通过一些小的实验,结合现有资料以及源码,探索一下Ansible ...

  2. ansible playbook实践(四)-如何调试写好的playbook文件

    有时,我们写了一个长长,功能很强悍的yaml文件,但是,我们有可能会担心,写的yaml文件是否正确,是否有漏洞危机,毕竟是要修改线上的机器,那么,有可能我们可以从以下几个检查维度来进行,确保在大规模应 ...

  3. ansible playbook批量改ssh配置文件,远程用户Permission denied

    最近手里的数百台服务器需要改/etc/ssh/sshd_config的参数,禁止root直接登陆,也就是说 [root@t0 ~]# cat /etc/ssh/sshd_config | grep R ...

  4. ansible笔记(11):初识ansible playbook(二)

    ansible笔记():初识ansible playbook(二) 有前文作为基础,如下示例是非常容易理解的: --- - hosts: test211 remote_user: root tasks ...

  5. ansible笔记(10):初识ansible playbook

    ansible笔记():初识ansible playbook 假设,我们想要在test70主机上安装nginx并启动,我们可以在ansible主机中执行如下3条命令 ansible test70 -m ...

  6. Ansible playbook 批量修改服务器密码 先普通后root用户

    fsckzy   Ansible playbook 批量修改服务器密码 客户的需求:修改所有服务器密码,密码规则为Rfv5%+主机名后3位 背景:服务器有CentOS6.7,SuSE9.10.11,r ...

  7. 写Ansible playbook添加zabbix被监控的对象

    本主题达到的效果是能通过编写Ansible Playbook,创建zabbix主机组,把被监控的对象加入到zabbix监控系统中,同时链接到对象的模板. 1.准备工作 在zabbix服务器上面,我们需 ...

  8. Ansible playbook基础组件介绍

    本节内容: ansible playbook介绍 ansible playbook基础组件 playbook中使用变量 一.ansible playbook介绍 playbook是由一个或多个“pla ...

  9. ansible playbook基本操作

    一.ansible playbook简单使用 相当于是把模块写入到配置文件里面 vim /etc/ansible/test.yml //写入如下内容: --- - hosts: 127.0.0.1 r ...

随机推荐

  1. P1044 栈(递归、递推、卡特兰、打表)

    P1044 栈 题目背景 栈是计算机中经典的数据结构,简单的说,栈就是限制在一端进行插入删除操作的线性表. 栈有两种最重要的操作,即pop(从栈顶弹出一个元素)和push(将一个元素进栈). 栈的重要 ...

  2. sNews1.7在wamp上的部署及运行

    安装前的准备 Apache Server 必须开启 mod_rewrite 模块 MySQL 数据库版本在 4.x以上 PHP: >= 4.x 并且 <=5.6 1.我使用的是wampse ...

  3. kali2016&2019的安装使用

    先解释一下,为什么要说2016&2019哪,这是因为有一些测试靶机环境在2016以上的系统安装不通过,所以有时候会特意找2016的镜像来用. 一.下载镜像 1.下载镜像当然要到官方去下载了: ...

  4. Java第二天,类的概念,属性和方法的使用

    上文中我们已近说到过了,Java是一种面向对象的编程语言,对象是用类来创建的,就比如世界上有无数个父亲,但是他们都有一个共同的属性--男人.也就是说某个父亲这个对象属于男人这个类.类是Java必不可少 ...

  5. NHibernate COUNT(*) 统计问题

    NHibernate这个框架用了有一年多了,相对有很大的优势,可以省去很多写Sql的时间. 但是如果你想用它做统计,那么有点抱歉,只能手动写写了.它内置的东西很难符合你的需求. 我遇到的问题是这样的. ...

  6. 【python实现卷积神经网络】激活函数的实现(sigmoid、softmax、tanh、relu、leakyrelu、elu、selu、softplus)

    代码来源:https://github.com/eriklindernoren/ML-From-Scratch 卷积神经网络中卷积层Conv2D(带stride.padding)的具体实现:https ...

  7. canal使用记录

    canal是阿里巴巴的来源项目.我们可以通过配置binlog实现数据库监控,得到数据库表或者数据的更新信息.参考我的文档前先去官网看下,可能已经支持更高版本的MySQL了 1. 查看官方开源项目 ht ...

  8. Python入门学习指导(VS Code配置向)

    代码编辑器或IDE 推荐Vs Code,Atom和Sublime(本文以Vs Code为例,Sublime对中文支持不是很好,时常弄好了Sublime的乱码,却在复制到其他编辑器时出了问题) Vs C ...

  9. Java正则表达式基础知识及实例说明

    众所周知,在程序开发中,难免会遇到需要匹配.查找.替换.判断字符串的情况发生,而这些情况有时又比较复杂,如果用纯编码方式解决,往往会浪费程序员的时间及精力.因此,学习及使用正则表达式,便成了解决这一矛 ...

  10. sqli-labs通关教程----21~30关

    第二十一关 第二十一关我们正常登陆后看到,uname后面变成了一堆字母 这是经过base64编码之后的样子,所以就照葫芦画瓢,将我payload的uname后面的部分转码成base64,这里可以用正常 ...