综合案列,处理敏感文件,Sudo

最新推荐文章于 2023-09-16 13:23:34 发布
最新推荐文章于 2023-09-16 13:23:34 发布
阅读量159 收藏 1
点赞数
分类专栏: automation
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/HYJW01/article/details/117369959
版权

综合安例
control 控制端服务器 (所有操作在control主机操作)

node3,node4安装启动httpd 服务
node2    proxy代理(Nginx)
roles/proxy/files        编写脚本源码安装Nginx
将真机(lnmp_soft/nginx-1.17.6)源码包拷贝到   roles/proxy/files目录下
在此目录下编写脚本源码安装Nginx
编写配置文件 定义集群  调用集群
roles/proxy/tasks编写任务 
copy模块拷贝到对方/tmp目录下
   script模块不支持幂等性,
加args:                   (和scripts对齐)
       creates: 后跟一个文件(/usr/local/nginx/sbin/nginx)
  ansible-doc  script  查看模块
 copy拷贝配置文件
 启服务
shell:   (因为shell不支持幂等性 操作同上)
args:
   creates: /usr/local/nginx/logs/nginx.pid 判断此文件是否存在 有则不再启动
 防火墙打开
  确定之前是否在node2开启过http服务,如果开启将http关闭 
  编写剧本  执行角色proxy

service模块开启http自带幂等性

2、ansible-vault处理敏感数据
encrypt(加密)、decrypt(解密)、view(查看),rekey(重置密码)

[root@control ansible]# echo 12345678 > data.txt
[root@control ansible]# ansible-vault encrypt data.txt
New Vault password:
Confirm New Vault password:
Encryption successful
[root@control ansible]# cat data.txt
$ANSIBLE_VAULT;1.1;AES256.............
[root@control ansible]# ansible-vault view data.txt
Vault password:
12345678
[root@control ansible]# ansible-vault rekey data.txt
Vault password:
New Vault password:
Confirm New Vault password:
Rekey successful
[root@control ansible]# ansible-vault decrypt data.txt
Vault password:
Decryption successful
[root@control ansible]# cat data.txt
12345678
[root@control ansible]# echo "lm secret data" > data.txt  写入数据
[root@control ansible]# echo 123456 > pass.txt 将密码写入文件
[root@control ansible]# ansible-vault encrypt --vault-id=pass.txt data.txt
Encryption successful      用密码加密文件
[root@control ansible]# cat data.txt
$ANSIBLE_VAULT;1.1;AES256.........................
[root@control ansible]# ansible-vault decrypt --vault-id=pass.txt data.txt
Decryption successful   解密文件
[root@control ansible]# cat data.txt
lm secret data

3、Sudo权限(让普通用户提升权限)
管理员需要先授权(修改/etc/sudoers文件)
普通用户以sudo的形式执行命令

修改/etc/sudoers的方法如下:
visudo(带语法检查,默认没有颜色提示)
vim /etc/sudoers(不带语法检查,默认有颜色提示)
授权格式
   用户或组 主机列表=(提权身份)[NOPASSWD]:命令列表
   命令需要写绝对路径 提权输自己密码NOPASSWD不需要密码 多个命令用逗号分隔
/etc/sudoers   此文件为只读wq!强制保存 立即生效
sudo  命令 (提权)
Ubuntu默认禁用root 第一个用户自动sudo ALL
[root@control ansible]# ansible all -m user -a "name=all password={{'123456' | password_hash('sha512')}}"
 [root@control ansible]# ansible all -m lineinfile -a "path=/etc/sudoers line='all ALL=(ALL) NOPASSWD:ALL'"
 [root@control ansible]# ssh all@node1      验证
all@node1's password:
[all@node1 ~]$ sudo systemctl restart sshd
[all@node1 ~]$ exit

修改Ansible配置

[root@control ansible]# vim ~/ansible/ansible.cfg

[defaults]

inventory = ~/ansible/inventory

remote_user = alice                #以什么用户远程被管理主机(被管理端主机的用户名)

[privilege_escalation]

become = true                    #alice没有特权,是否需要切换用户提升权限

become_method = sudo                #如何切换用户(比如用su就可以切换用户,这里是sudo)

become_user = root                #切换成什么用户(把alice提权为root账户)

become_ask_pass = no                #执行sudo命令提权时是否需要输入密码

远程被管理端主机的all用户,需要提前配置SSH密钥。

[root@control ansible]# for i in node1 node2 node3 node4 node5

do

ssh-copy-id all@$i

done

验证效果:

[root@control ansible]# ssh alice@node1 #依次远程所有主机看看是否需要密码

#注意:是远程登录node1,应该输入的是node1电脑上面alice账户的密码,control没有all用户

[root@node1 ~]# exit #退出远程连接

[root@control ansible]# ansible all -m command -a "who" #测试效果

[root@control ansible]# ansible all -m command -a "touch /test" #测试效果

常见报错(有问题可以参考,没问题可以忽略):

node1 | UNREACHABLE! => {

"changed": false,

"msg": "Failed to connect to the host via ssh: alice@node1: Permission denied (publickey,gssapi-keyex,gssapi-with-mic,password).",

"unreachable": true

}

问题分析:

Failed to connect to host via ssh alice@node1(通过ssh使用alice远程连接到主机失败)

Permission denied(因为无法连接,所以报错说权限被拒绝)

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Y\
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Failed to connect to the host via ssh: Permission denied (publickey,gssapi-keyex,gssapi-with-mic,pas
肥叔菌的博客
12-04 9662
通过ansible命令直接ping多台机器的网络状态,提示报错: 192.168.0.103 | UNREACHABLE! => { “changed”: false, “msg”: “Failed to connect to the host via ssh: Permission denied (publickey,gssapi-keyex,gssapi-with-mic,password).\r\n”, “unreachable”: true } 解决方式:单向的ssh验证 ssh-keyge
Debian 中无法执行Sudo的解决办法
RENYUAN
07-15 5960
Sudo是Debian中常用命令,安装好系统后还不能使用sudo,解决办法如下:1、安装sudo# apt-get install sudo2、修改 /etc/sudoers 文件属性为可写# chmod u+w /etc/sudoers3、编辑 /etc/sudoers ,添加
解决提示“sudo: 无法切换为 root 组 ID: 不允许的操作“等提示的例子分享
OMGMac的博客
09-16 2610
今天来分享一个关于在ubuntu下操作时候出现的一个关于用户权限的问题。话不多说,咋们直接来讲~上面第一个是我在使用ls命令时候发现怎么提示我权限不够,我当时就奇怪了,怎么ls权限都不行。。。于是我就sudo切换一下root用户一下试试看,发现提示我下面那两句话。提示我不能使用sudo和使用root用户。我一想不对呀,怎么root用户也不让切换了,连最基础的ls的命令也不让使用。。就因为登录的用户是客人会话,所以不能切换会root用户。一直没有使用过客人访问来操作,以至于没有一下子发现。
sudo php 无法打开,从PHP / Apache,exec()或system()程序作为root用户:“ sudo:无法打开审核系统:权限被拒绝”...
weixin_33905037的博客
03-13 170
我已经花了半天的时间来解决这个问题,并且我已经做了很多研究.我也熟悉许多与此主题相关的讨论,例如:How to run PHP exec() as root?不幸的是,我发现的建议似乎都不适合我.首先,我正在为规范编写内容,因此我无法避免这样做.此外,所有计算机都将存在于未连接到Internet的专用网络上.虽然拥有一些安全性很重要,但最重要的是要防止错误.我的目标是配置一些“瘦服务器”.通过PH...
ansible当用户列表为普通用户,执行任务需要切换sudo,使用become
icanflying的博客
02-28 4618
Ansible 使用现有的权限提升系统以 root 权限或其他用户的权限执行任务。因为此功能允许您“成为”另一个用户,不同于登录机器的用户(远程用户),我们称之为become. 该become关键字使用现有的权限提升工具,如sudo、su等。 task方式: - name: Run a command command: crontab -l become: yes become_method: sudo 终端方式: ansible dev -a 'crontab -l' -becom
Su以及Sudo文件下载
10-04
下载并使用从Kali Linux(2020.3 64位)中提取的 `su` 和 `sudo` 文件,意味着你可能在自定义或恢复系统环境时需要用到它们。在安装或更新这些核心命令时,务必小心,因为任何错误都可能导致系统不稳定或无法正常...
详解Linux下的sudo及其配置文件/etc/sudoers的详细配置
09-15
本文将深入讲解`sudo`以及其配置文件`/etc/sudoers`的详细配置。 ### 1. `sudo`简介 `sudo`的主要功能是让用户在不需要知道root密码的情况下,临时获取超级用户权限。它不是替代shell,而是对每个命令单独授权。`...
winsudo:用于处理Windows UAC的sudo“ like”框架
03-29
软件包winsudo是用于处理Windows UAC的sudo “ like”框架。 最初的灵感来自 还没有加密! 警告,警告,警告 “父级”和“子级”之间的加密尚未实现。 因此,本地TCP网络堆栈上可能存在的不良行为者可能会对此...
Debian如何限制sudo权限
最新发布
04-01
能学到什么:设置普通用户执行sudo的权限,使其只能执行指定的命令。 用户使用su命令切换root。但是权限太大,而且root密码有泄露风险。那么能否在不泄露root密码的前提下对权限进行限制呢?答案就是用sudosudo...
sudo命令详解
01-09
1、初识sudo   sudo是linux下常用的允许普通用户使用超级用户权限的工具,允许系统管理员让普通用户执行一些或者全部的root命令,...  ③ sudo使用时间戳文件——日志来执行类似的“检票”系统。当用户调用sudo并且
sudo无法使用的解决办法
关注收藏,可以私信解决问题!
05-01 4421
sudo是短暂超级管理员执行,如果不设置你第一次使用sudo会提示”xxx is not in the sudoers file.This incident will be reported的问题” 首先su到root用户,然后输入chmod u+w /etc/sudoers 给到权限(因为root对这个文件也没有权限)然后vi打开这个文件,然后找到图2红色框选的部分然后加入自己想要的用户输入sudo生效的用户,然后如下配置,然后退出来,切换回用户即可。使用sudo ...
ansible配置文件
wwqwwqwwq352的博客
05-10 1717
配置文件位置 1./etc/ansible/ansible.cfg ansible软件提供的一个基本的配置文件,当找不到其他配置文件时,使用此文件。全局配置 2.~/.ansible.cfg ansible在用户的主目录查找,ansible.cfg文件,如果没有存在此配置文件,则使用/etc/ansible/ansible.cfg替代。用户个人配置 3../ansible.cfg 如果在执行ansible命令的目录下存在ansible.cfg文件,则使用它。忽略全局文件和用户个人文件。 4.使
Ansible第六章ansible中的角色使用
weixin_44743132的博客
12-08 906
一.ansible roles 1.ansible 角色简介 * Ansible roles 是为了层次化,结构化的组织Playbook * roles就是通过分别将变量、文件、任务、模块及处理器放置于单独的目录中,并可以便捷地include它们 * roles一般用于基于主机构建服务的场景中,在企业复杂业务场景中应用的频率很高 * 以特定的层级目录结构进行组织的tasks、variables、handlers、templates、files等;相当于函数的调用把各个功能切割成片段来执行。 2.rol
Ansible 安装后的两个常见错误及处理
qq_36546177的博客
02-19 4274
I. 对之前未连接的主机进行连结时报错如下: [root@linux ~]# ansible webservers -m command -a ‘ls ~’ -k SSH password: 120.76.25.191 | FAILED | rc=0 >> Using a SSH password instead of a key is not possible because Host Key checking is enabled and sshpass does not support
Failed to connect to the host via ssh: Permission denied (publickey,gssapi-keyex,gssapi-with-mic,pas...
weixin_34043301的博客
02-26 3227
Centos7.5 执行ansible命令报错 问题: [root@m01 ~]# ansible servers -a "hostname" -i ./hosts -u root 172.16.1.7 | UNREACHABLE! => { "changed": false, "msg": "Failed to connect to the host via ssh: P...
管理Ansible配置文件
Cadillac_Yuhuang的博客
07-15 333
部署Ansible 文章目录部署Ansible1. Ansible清单1.1 清单的作用1.2清单文件的位置1.3 清单文件的优先级2. Ansible配置文件2.1 ansible配置文件详解2.1.1 [defaults]修改默认设置2.1.2 [privilege_escalation]提权2.2 配置文件注释3. Ansible查看帮助文档4. Ansible常用模块4.1 user模块 1. Ansible清单 1.1 清单的作用 作用:定义了ansible服务器管理的一批受管主机,通过执行Ans
ansible的参数补充
欢迎查阅
11-05 299
ansible的参数补充1. 参数2. 没有进行公钥分发的时候怎么批量安装应用2.1 需求,批量的安装cowsay 软件2.1.1 安装脚本的编写2.1.2 先ansible分发脚本2.1.3 执行脚本2.2 上边是root用户的情况,我们在普通用户下怎么去执行呢 1. 参数 原文连接 https://blog.csdn.net/asd1992498/article/details/53884276 参数 说明 -a ‘Arguments’, —args=’Arguments’ 命令行参数 -m NAME,
自动化运维-Ansible(redhat 8)
system_rookie的大佬成长之路
08-27 3258
在控制节点安装Ansible redhat 8自带python 3;如果没有安装,需要自行安装 查看是否安装python3 [root@localhost ~]# yum list installed|grep platform-python 模块依赖问题 问题 1: conflicting requests - nothing provides module(perl:5.26) needed by module perl-DBD-SQLite:1.58:8010020190322125518
linux学习笔记一——sudo:无法切换为sudoers组ID:不允许的操作
热门推荐
pugu12的专栏
07-06 2万+
登陆ubantu,开terminal,用sudo  发现 sudo: 无法切换为 sudoers 组ID: 不允许的操作 sudu:setresuid() [0,0,0] -> [115,-1,-1]: 不允许的操作 用su提示:setgid: 不允许的操作 最后发现是因为登录的是访客权限,权限不够的原因!
sudoers文件中具有sudo权限
01-11
sudoers文件是用于配置sudo命令的权限的文件。在该文件中,可以指定哪些用户或用户组具有sudo权限,从而允许他们以超级用户的身份执行特权命令。 要在sudoers文件中配置sudo权限,可以按照以下步骤进行操作: 1. ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值