Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste ÜberarbeitungBeide Seiten der Revision | ||
linux:ansible:playbook_example_08 [22.09.2022 12:22. ] – [Script Beschreibung] django | linux:ansible:playbook_example_08 [01.06.2024 13:24. ] – [Lösung] django | ||
---|---|---|---|
Zeile 17: | Zeile 17: | ||
==== Lösung ==== | ==== Lösung ==== | ||
+ | <WRAP center round tip 80%> | ||
+ | Der ungeduldigen Leser kann auch direkt zur Tat schreiten und das manuelle Anlegen des Verzeichnisses und des Ansible-Scripts überspringen. Mit Folgendem Befehl erledigt man dies sozusagen auf einem Rutsch: | ||
+ | |||
+ | < | ||
+ | |||
+ | Anschliessend kann man direkt **[[# | ||
+ | </ | ||
=== Script anlegen === | === Script anlegen === | ||
Zunächst müssen wir manuell einmal das Verzeichnis **'' | Zunächst müssen wir manuell einmal das Verzeichnis **'' | ||
Zeile 119: | Zeile 126: | ||
- {directory: " | - {directory: " | ||
- {directory: " | - {directory: " | ||
+ | - {directory: " | ||
- {directory: " | - {directory: " | ||
- {directory: " | - {directory: " | ||
Zeile 220: | Zeile 228: | ||
ok: [localhost] => (item={' | ok: [localhost] => (item={' | ||
ok: [localhost] => (item={' | ok: [localhost] => (item={' | ||
+ | ok: [localhost] => (item={' | ||
ok: [localhost] => (item={' | ok: [localhost] => (item={' | ||
ok: [localhost] => (item={' | ok: [localhost] => (item={' | ||
Zeile 272: | Zeile 281: | ||
- | ===== Aufgabenstellung 2 - " | + | ===== Aufgabenstellung 2 - " |
<WRAP center round info 80%> | <WRAP center round info 80%> | ||
- | Mit Hinblick auf das all umspannende Thema **Sicherheit in der IT** ist eines unserer | + | Mit Hinblick auf das all umspannende Thema **Sicherheit in der IT** ist eines unserer |
- | Folgende Sicherheitsvorkehrungen wollen wir unseren Admins an die Hand geben: | + | Folgende Sicherheitsvorkehrungen wollen wir unseren Admins |
- | - Die Anmeldung an remote Hosts erfolgt mit Hilfe der **SSH** | + | - Die Anmeldung an remote Hosts erfolgt mit Hilfe der **SSH** |
- Der Administrator soll beim Aufruf der Playbooks **__nur noch__** den PGP-Schlüssel durch Eingabe der zugehörigen Passphrase entsperren. Das Passwort für die Rechteerweiterung wird von Ansible aus dem Vault gelesen, genau so wie das **'' | - Der Administrator soll beim Aufruf der Playbooks **__nur noch__** den PGP-Schlüssel durch Eingabe der zugehörigen Passphrase entsperren. Das Passwort für die Rechteerweiterung wird von Ansible aus dem Vault gelesen, genau so wie das **'' | ||
- | Wir wollen vertrauliche Informationen in unseren Playbooks bzw. im Inventory | + | Wir wollen vertrauliche Informationen in unseren Playbooks bzw. im Inventory |
Aus Sicht von **IT-Security** haben wir somit einen erheblicher Zugewinn an Sicherheit. Die Akzeptanzschwelle ist durch Minimierung von mehrfachen Eingaben diverser Passworte durchaus niedrig, so dass für den Admin durchaus ein Mehrwert bei der täglichen administrativen Tätigkeit ausgemacht werden kann. | Aus Sicht von **IT-Security** haben wir somit einen erheblicher Zugewinn an Sicherheit. Die Akzeptanzschwelle ist durch Minimierung von mehrfachen Eingaben diverser Passworte durchaus niedrig, so dass für den Admin durchaus ein Mehrwert bei der täglichen administrativen Tätigkeit ausgemacht werden kann. | ||
</ | </ | ||
- | Damit wir nun diesen Vorüberlegungen gerecht werden können, benötigen wir eine vordefinierte Grundinstallation und Konfiguration der Ansible-Umgebung für unsere(n) Admin(s). | + | Damit wir nun diesen Vorüberlegungen gerecht werden können, benötigen wir eine vordefinierte Grundinstallation und Konfiguration der Ansible-Umgebung für unsere(n) Admin(s) |
- | Mit Hilfe dieses Playbooks können alle erforderlichen Konfigurationsschritte reproduzierbar und beliebig oft abgesetzt werden. Bei Bedarf ist als also jederzeit ohne grossen Aufwand möglich den Ansible-Controll-Node neu aufzusetzen und das System für spätere Playbook-Rollouts vorzubereiten, | + | Mit Hilfe dieses Playbooks können alle erforderlichen Konfigurationsschritte reproduzierbar und beliebig oft abgesetzt werden. Bei Bedarf ist als also jederzeit ohne grossen Aufwand möglich den Ansible-Controll-Node |
Folgende Schritte sollen von dem playbook abgearbeitet werden: | Folgende Schritte sollen von dem playbook abgearbeitet werden: | ||
Zeile 295: | Zeile 304: | ||
- Ansible Directory Layout anlegen und mit Dummy-Inhalten versorgen. | - Ansible Directory Layout anlegen und mit Dummy-Inhalten versorgen. | ||
- Installation und Konfiguration des Passwortmanagers **'' | - Installation und Konfiguration des Passwortmanagers **'' | ||
- | - Hinterlegen des Ansible Become | + | - Hinterlegen des Ansible Become |
+ | - Für die kompakte Ausgabe der Ansible Rückmeldungen soll der **[[playbook_example_12# | ||
Somit erreichen wir später bequem unser gestecktes Ziel unsere Zeit als Admin effizient zu nutzen und in einer sicheren Umgebung uns zu bewegen. | Somit erreichen wir später bequem unser gestecktes Ziel unsere Zeit als Admin effizient zu nutzen und in einer sicheren Umgebung uns zu bewegen. | ||
==== Lösung ==== | ==== Lösung ==== | ||
+ | <WRAP center round tip 90%> | ||
+ | Der ungeduldigen Leser kann auch direkt zur Tat schreiten und das manuelle Anlegen des Verzeichnisses und des Ansible-Scripts überspringen. Mit Folgendem Befehl erledigt man dies sozusagen auf einem Rutsch: | ||
+ | |||
+ | < | ||
+ | |||
+ | Anschliessend kann man, nachdem man die Variablen wie z.B. **'' | ||
+ | </ | ||
=== Script anlegen === | === Script anlegen === | ||
<WRAP center round important 60%> | <WRAP center round important 60%> | ||
Zeile 316: | Zeile 333: | ||
# | # | ||
# Aufruf aus dem entsprechenden Arbeits-Verzeichnis via: | # Aufruf aus dem entsprechenden Arbeits-Verzeichnis via: | ||
- | # ansible-playbook playbooks/ | + | # ansible-playbook playbooks/ |
- name: ansible_grundconfig_v2.yml | - name: ansible_grundconfig_v2.yml | ||
Zeile 410: | Zeile 427: | ||
- {directory: " | - {directory: " | ||
- {directory: " | - {directory: " | ||
+ | - {directory: " | ||
- {directory: " | - {directory: " | ||
- {directory: " | - {directory: " | ||
Zeile 494: | Zeile 512: | ||
- name: " | - name: " | ||
ansible.builtin.file: | ansible.builtin.file: | ||
- | path: '/ | + | path: '/ |
state: absent | state: absent | ||
- name: " | - name: " | ||
ansible.builtin.copy: | ansible.builtin.copy: | ||
- | dest: '/ | + | dest: '/ |
content: | | content: | | ||
+ | # Generated by Ansible on {{ ansible_date_time.date }}, do not edit manually! | ||
ansible_become_pass: | ansible_become_pass: | ||
owner: '{{ admin_user }}' | owner: '{{ admin_user }}' | ||
Zeile 510: | Zeile 529: | ||
become: true | become: true | ||
shell: | | shell: | | ||
- | ansible-vault encrypt /home/{{ admin_user }}/ | + | ansible-vault encrypt /home/{{ admin_user }}/ |
changed_when: | changed_when: | ||
+ | |||
+ | - name: " | ||
+ | ansible.builtin.file: | ||
+ | path: '/ | ||
+ | state: absent | ||
+ | |||
+ | - name: " | ||
+ | ansible.builtin.copy: | ||
+ | dest: '/ | ||
+ | content: | | ||
+ | # Generated by Ansible on {{ ansible_date_time.date }}, do not edit manually! | ||
+ | ansible_become: | ||
+ | ansible_become_method: | ||
+ | ansible_become_user: | ||
+ | ansible_become_ask_pass: | ||
+ | owner: '{{ admin_user }}' | ||
+ | group: '{{ admin_user }}' | ||
+ | mode: ' | ||
... # YML Ende</ | ... # YML Ende</ | ||
Zeile 537: | Zeile 574: | ||
- Ansible Directory Layout mit dummy-files main.yml befüllen. | - Ansible Directory Layout mit dummy-files main.yml befüllen. | ||
- Installation des Passwort-Managers **'' | - Installation des Passwort-Managers **'' | ||
- | - vault-Wrapperscript im **' | + | - vault-Wrapperscript im **'' |
- | - Store-Passwort | + | - Store-Passwort |
- Im Inventory das **'' | - Im Inventory das **'' | ||
- | - Ansible-Vault Datei die zuvor angelegt | + | - Ansible-Vault Datei, die zuvor angelegt |
+ | - Im Inventory die Definitionen zu privilege_escalation anlegen und auch hier ggf. ein bereits existierende Konfigurationsdatei vorher löschen. | ||
=== Script starten === | === Script starten === | ||
Zeile 552: | Zeile 590: | ||
<font style=" | <font style=" | ||
[WARNING]: provided hosts list is empty, only localhost is available. Note that the implicit localhost does not match ' | [WARNING]: provided hosts list is empty, only localhost is available. Note that the implicit localhost does not match ' | ||
- | <font style=" | + | <font style=" |
+ | Retype password for password-store?: | ||
+ | Enter become-password for sudo?: | ||
+ | Retype become-password for sudo?: | ||
- | PLAY [ansible_grundconfig_v1.yml] ************************************************************************************************* | + | PLAY [ansible_grundconfig_v2.yml] ************************************************************************************************* |
TASK [Gathering Facts] ************************************************************************************************************</ | TASK [Gathering Facts] ************************************************************************************************************</ | ||
<font style=" | <font style=" | ||
+ | <font style=" | ||
+ | TASK [Playbooklauf abbrechen sofern die beiden eigegebenen Passwörter nicht übereinstimmen!] **************************************</ | ||
+ | <font style=" | ||
+ | <font style=" | ||
+ | TASK [Playbooklauf abbrechen sofern die beiden eigegebenen Passwörter nicht übereinstimmen!] **************************************</ | ||
+ | <font style=" | ||
<font style=" | <font style=" | ||
TASK [Ansible Konfigurationsdatei / | TASK [Ansible Konfigurationsdatei / | ||
Zeile 571: | Zeile 618: | ||
<font style=" | <font style=" | ||
changed: [localhost] => (item={' | changed: [localhost] => (item={' | ||
- | changed: [localhost] => (item={' | + | changed: [localhost] => (item={' |
- | become_method=sudo'}) | + | changed: [localhost] => (item={' |
- | changed: [localhost] => (item={' | + | |
- | changed: [localhost] => (item={' | + | |
- | changed: [localhost] => (item={' | + | |
<font style=" | <font style=" | ||
TASK [Ansible Directory Layout anlegen] *******************************************************************************************</ | TASK [Ansible Directory Layout anlegen] *******************************************************************************************</ | ||
Zeile 581: | Zeile 625: | ||
ok: [localhost] => (item={' | ok: [localhost] => (item={' | ||
ok: [localhost] => (item={' | ok: [localhost] => (item={' | ||
+ | ok: [localhost] => (item={' | ||
ok: [localhost] => (item={' | ok: [localhost] => (item={' | ||
ok: [localhost] => (item={' | ok: [localhost] => (item={' | ||
Zeile 616: | Zeile 661: | ||
changed: [localhost] => (item={' | changed: [localhost] => (item={' | ||
changed: [localhost] => (item={' | changed: [localhost] => (item={' | ||
+ | <font style=" | ||
+ | TASK [Passwort-Manager pass installieren] ***********************************************************************************</ | ||
+ | <font style=" | ||
+ | <font style=" | ||
+ | TASK [Verzeichnis ~/bin anlegen] ********************************************************************************************</ | ||
+ | <font style=" | ||
+ | <font style=" | ||
+ | TASK [vault-Wrapperscript anlegen] ******************************************************************************************</ | ||
+ | <font style=" | ||
+ | <font style=" | ||
+ | TASK [Sicherstellen dass das pass Store-Verzeichnis nicht existiert] ********************************************************</ | ||
+ | <font style=" | ||
+ | <font style=" | ||
+ | TASK [Pass-Store Passwort ablegen] ******************************************************************************************</ | ||
+ | <font style=" | ||
+ | <font style=" | ||
+ | TASK [Sicherstellen dass das File für das verschlüsselte become-password noch nicht existiert] ******************************</ | ||
+ | <font style=" | ||
+ | <font style=" | ||
+ | TASK [Ansible Become Password für sudo Rechteerweiterung anlegen] ***********************************************************</ | ||
+ | <font style=" | ||
+ | <font style=" | ||
+ | TASK [Ansible Become Password mit ansible-vault verschlüsseln] **************************************************************</ | ||
+ | <font style=" | ||
+ | <font style=" | ||
+ | TASK [Sicherstellen dass das File mit der Ansible-Konfiguration nicht existiert] ********************************************</ | ||
+ | <font style=" | ||
+ | <font style=" | ||
+ | TASK [Ansible Konfigurationsdatei mit den Definitionen zu privilege_escalation anlegen] *************************************</ | ||
+ | <font style=" | ||
<font style=" | <font style=" | ||
PLAY RECAP ********************************************************************************************************************</ | PLAY RECAP ********************************************************************************************************************</ | ||
- | <font style=" | + | <font style=" |
</ | </ | ||
</ | </ | ||
- | Für eine einfache Ansible Umgebung haben wir nun erfolgreich die Basis geschaffen. Künftig können wir nun einfach unsere Playboooks starten, ohne zusätzliche Optionen angeben zu müssen, wie z.B.: | ||
- | $ ansible-playbook ~/ | ||
- | Wir werden dann automatisch aufgefordert das **'' | ||
- | |||
- | <WRAP center round tip 80%> | ||
- | Da wir aber später vertrauliche Informationen wie Passworte und Schlüssel in unseren Playbooks und im Inventory verwenden wollen, werden wir uns nicht mit dieser Basis-Konfiguration zufrieden geben, sondern eher auf Sicherheit bedacht sein, und daher lieber das nachfolgende Beispiel verwenden wollen! | ||
- | </ | ||
- | |||
- | |||
+ | {{ : | ||
+ | Der Aufruf des Scripts **'' | ||
+ | $ ansible-playbook -v 01_create-user.yml --limit=demo | ||
+ | Nach der Abfrage des **'' | ||
+ | ===== Fazit und Ausblick ===== | ||
+ | <WRAP center round info 60%> | ||
+ | Wir haben nun Dank der beiden gezeigten Ansible-Playbooks zur Konfiguration unserer Ansible-Umgebung die Möglichkeit, | ||
+ | </ | ||
- | FIXME | + | ====== Links ====== |
+ | * **[[detail|zurück zum Kapitel " | ||
+ | * **=> [[playbook_example_09|weiter zum Kapitel " | ||
+ | * **[[start|Zurück zur " | ||
+ | * **[[wiki: | ||
+ | * **[[http:// |