Sichern des primären Ansible-Benutzers

Es scheint, dass es für den primären Ansible-Benutzer nur zwei vernünftige Ansätze gibt:

• Verwenden von root
• Verwenden eines anderen Benutzers (z. B. ansible) mit NOPASSWD sudoZugriff

Die erste Option ist ein No-Go, da ich bei dem Gedanken, weiterzumachen, zusammenzucke PermitRootLogin. Standardmäßig scheint die zweite Option der richtige Weg zu sein.

Ich dachte zumindest an /etc/ssh/sshd_config:

Match User ansible
    PasswordAuthentication No

Beschränken der Schlüsselverwendung auf den Ansible-Host mithilfe der folgenden fromOption authorized_keys:

from="192.168.100/24"

Irgendwelche anderen Ideen oder Probleme / Bedenken mit meinen Gedanken bisher?

Dies sind die Maßnahmen, die ich für Clients verwende, die von ssh remote verwaltet werden müssen (in meinem Fall mit BackupPC anstelle von Ansible, aber es funktioniert genauso).

Wenn Sie nur ssh zum Verwalten der Clients verwenden, nicht für den Shell-Zugriff, wird das Hinzufügen von Sicherheit verbessert

AllowUsers ansible
PasswordAuthentication no

Sie können ein Benutzerkonto haben, für das ein Kennwort für den SUDO-Zugriff erforderlich ist, und diesen Wert zur Laufzeit über das --ask-sudo-passFlag ( -K) für ansible-playbook bereitstellen

ansible-playbook -i inv/production -K playbook.yml

Weitere Informationen finden Sie unter http://docs.ansible.com/playbooks_intro.html