Ansible 安全 之【过滤危险命令】

最新推荐文章于 2024-04-18 16:52:58 发布
最新推荐文章于 2024-04-18 16:52:58 发布
阅读量372 收藏 2
点赞数 1
分类专栏: ansible自动化运维管理工具 文章标签: python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Yosigo_/article/details/120709399
版权

ansible对模块和命令做限制

vim /usr/local/python3/lib/python3.8/site-packages/ansible/playbook/play.py
...
from ansible.parsing.splitter import parse_kv
# 写在类的上面,否则调用不到(一定要写在全局)
def filter_cmd(data):
    filter_modules = ('command', 'shell', 'script', 'raw')
    filter_commands = ('rm -rf /','halt', 'poweroff', 'reboot', 'shutdown -h now','shutdown -r now','hostname')
    filter_commands = map(lambda x:x.replace(' ', '').lower(), filter_commands)
    for t in data['tasks']:
        if 'action' in t:
            if t['action']['module'] in filter_modules:
                if t['action']['args']['_raw_params'].replace(' ', '').lower() in filter_commands:
                    raise AnsibleParserError("Refused to execute the [%s] command in the [%s] module." % (t['action']['args']['_raw_params'], t['action']['module']))
    else:
        for m in filter_modules:
            if m in t:
                args=parse_kv(t[m], check_raw=True)
                if args['_raw_params'].replace(' ', '').lower() in filter_commands:
                    raise AnsibleParserError("Refused to execute the [%s] command in the [%s] module." % (t[m], m))

...
	# 在Play类的load方法中引用filter_cmd过滤命令
	# 在p = Play()上方添加filter_cmd(data)
    @staticmethod
    def load(data, variable_manager=None, loader=None, vars=None):
        if ('name' not in data or data['name'] is None) and 'hosts' in data:
            if data['hosts'] is None or all(host is None for host in data['hosts']):
                raise AnsibleParserError("Hosts list cannot be empty - please check your playbook")
            if isinstance(data['hosts'], list):
                data['name'] = ','.join(data['hosts'])
            else:
                data['name'] = data['hosts']
        filter_cmd(data)
        p = Play()
        if vars:
            p.vars = vars.copy()
        return p.load_data(data, variable_manager=variable_manager, loader=loader)

测试

ansible all -m shell -a "hostname"
# ERROR! Refused to execute the [hostname] command in the [shell] module.
ansible all -m shell -a "reboot"
# ERROR! Refused to execute the [reboot] command in the [shell] module.
ansible all -m shell -a "rm -rf /"
# ERROR! Refused to execute the [rm -rf /] command in the [shell] module.

测试ansible的yaml文件执行

cd /etc/ansible/ansible-playbook/
vim test.yml
- host: linux
  tasks:
    - name: test01
      shell: hostname

ansible-playbook test.yml 
# ERROR! Refused to execute the [hostname] command in the [shell] module.
我的紫霞辣辣
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ansible-role-security:Ansible角色-安全
01-31
ansible-role-security:Ansible角色-安全
【转载】 屏蔽Ansible中的危险命令方法
weixin_34194702的博客
11-23 378
批量执行命令时,需要把一些危险命令屏蔽掉,从而将降低使用人员的误操作。 测试环境 ansible 2.3.0.0 os Centos 6.7 X64 python 2.6.6 需要过滤规则的模块 command shell script raw 需要过滤命令 rm -rf / halt poweroff reboot shutdown ...
Ansible安全:使用Vault进行加密
最新发布
mengmeng_921的博客
04-18 1101
管理目标节点时,有些操作需要使用密码才允许访问,但Ansible是一个自动化配置管理工具,在自动化操作的阶段中要求交互式输入密码的行为应该是一件让人败兴的事。通常,实现非交互式的方案有:(1).将敏感数据写入文件(比如写入变量文件),然后读取,这种方案不安全;(2).定义敏感数据对应的环境变量,缺点是有些客户端工具不一定支持这种方式,且这种方案不够方便;(3).使用命令行选项,但缺点是不安全,且Ansible不支持这种功能;(4).expect类工具,缺点是不方便。
【转载】Ansible-过滤危险命令
qq522044637的博客
04-21 196
ansible过滤危险命令
使用ansible对虚拟机进行安全设置
无约而来
02-20 398
使用ansible对虚拟机进行安全设置iptables设置修改防火墙配置文件修改 ssh 端口,查看结果,重启服务ansible 配置批量分发秘钥修改 hosts 文件 iptables设置 设置方法参考前边的文章 修改防火墙配置文件 将配置好的防火墙文件通过ansible部署到需要设置的虚拟机 [root@ansible ~]# ansible aliyun -m copy -a "src=/c...
Ansible实现等保安全合规基线,运维尽力了!
yanggd1987的专栏
06-15 1788
对于安全合规基线,我们肯定希望能够对所有纳管的服务器进行批量更新,最好还可以根据最新的标准不断进行持续优化更新。因此我们使用`Ansible Playbook`进行统一管理,一方面安全合规基线配置是系统标准初始化的一部分,另一方面其也可以对基线进行单独的执行。...
ansible管理工具命令学习.docx
04-30
Ansible 管理工具命令学习 Ansible 是一个基于 Python 语言实现的自动化运维管理工具,能够管理多台主机,并且不需要在多台主机安装任何客户端代理。Ansible 的主要特点是使用 SSH 通道进行远程命令执行或下发配置...
ansible的yum安装和常用命令使用
10-11
Ansible 的 Yum 安装和常用命令使用 Ansible 是一个自动化配置管理工具,可以帮助用户快速地配置和管理大量服务器。下面我们将介绍 Ansible 的 Yum 安装和常用命令使用。 一、Ansible 的 Yum 安装 Ansible 的安装...
ansible:飞行员ansible命令
04-01
13. **幂等性(Idempotency)**:Ansible的设计原则之一是幂等性,即多次运行同一命令应始终使系统处于相同状态,避免不必要的变更。 学习和熟练掌握Ansible的这些基本概念和用法,能够极大地提高IT运维的效率和...
自动化运维工具之ansible
02-25
其中puppet最受欢迎3、批量程序的部署4、批量命令的运行查看状态信息ansible的架构大致如下ansible是新出现的运维工具是基于Python研发的糅合了众多老牌运维工具的优点实现了批量操作系统配置、批量程序的部署、批量...
Ansible:简单、快速、安全、最强大的 IT 自动化系统 | 开源日报 No.140
开源服务指南
01-08 1091
Ansible 是一个极其简单的 IT 自动化系统,它可以处理配置管理、应用部署、云提供、临时任务执行、网络自动化和多节点编排。它的主要功能包括简单的设置过程和最小的学习曲线、快速并行地管理计算机、使用现有的 SSH 守护程序实现无代理、使用人机可读的语言描述基础设施、注重安全性和易审计性。此外,它还具有可以立即管理新远程计算机、支持在任何动态语言中进行模块开发、可以作为非 root 用户使用的优势。总的来说,Ansible 是目前最易用的 IT 自动化系统。
利用ssh-agent提升ansible使用的方便及安全
sinat_24354307的博客
02-15 830
利用ssh-agent提升ansible使用的方便及安全性 本文写作时间:2022-02-15 背景 ansible作为运维主机能够管理多台服务器,原理是通过ssh。ssh链接有2种方式:密码和秘钥对。 因用到了ssh所以也带来了一定的风险。 一、用密码的弊端 1.需要把服务器的密码明文写到ansible配置文件中。有一定的安全风险,不应采用 二、 用秘钥对的情况 1、如果秘钥对的私钥没有设置密码。有一定的安全风险,不应采用 2、如果管理的所有服务器都用的是同一个秘钥对。有一定的安全风险,不应采用 3、如果
Ansible 安全 之【加密主机清单】
Yosigo_的博客
10-27 707
Ansible 安全 之【加密主机清单】 设置主机清单配置文件密码 ansible-vault encrypt /etc/ansible/hosts # New Vault password: # Confirm New Vault password: # Encryption successful 加密后查看主机清单配置文件,无法查看 cat /etc/ansible/hosts # $ANSIBLE_VAULT;1.1;AES256 # 3733383264323466393965373
手把手教你在python中运行ansible-playbook
热门推荐
点火三周的专栏
06-19 1万+
关于什么ansible,我这里就不做科普了,总之一句话,要做分布式系统的运维,实现批量系统配置、批量程序部署、批量运行命令等功能,ansible就是一大杀器,能令你事半功倍。 但作为一个cli工具,其使用场景还是受cli的限制,无法实现运行过程中更深入的交互和逻辑控制。ansible本身是用python做的,所以实际上是和python的脚本控制是无缝链接的,可以在python中直接使用。但怎奈关于这部分的内容,官网文档中本身就少得可怜,互联网上也少有关于这一块的介绍,所以这个博文试着抛砖引玉,为大家做个指
解决maven手动导jar包报Artifact Id cannot be empty问题
weixin_42333235的博客
07-19 3555
1.eclipse中——windows——preferences——maven——use settings添加本地maven下的settings.xml 2.windows——show view——maven——maven repositories,找到如图,鼠标右击找到Rebuild Index,随后耐心等待即可。 ...
Ansible 运维自动化 ( 配置管理工具 )
weixin_33877885的博客
06-19 839
摘要: 简介: 当下有许多的运维自动化工具( 配置管理 ),例如:Ansible、SaltStack、Puppet、Fabric 等。 Ansible 一种集成 IT 系统的配置管理、应用部署、执行特定任务的开源平台,是 AnsibleWorks 公司名下的项目,该公司由 Cobbler 及 Func 的作者于 2012 年创建成立。简介:当下有许多的运维自动化工具( 配置管理 ),例如:Ansi...
for循环
weixin_50266677的博客
09-09 1047
上代码: <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <meta name="viewport" content="width=device-width, initial-scale=1.0"> <title>Document</title> </head><body>
yum ansible后提示没有ansible命令
09-07
当您在控制节点上使用ansible命令时,如果系统提示没有找到ansible命令,可能是因为ansible没有正确安装或者没有将ansible的可执行文件路径添加到系统的环境变量中。 首先,确保您已经正确安装了ansible。您可以通过在终端上执行以下命令来检查ansible是否已安装: ``` ansible@control ansible]$ ansible-doc yum_repository ``` 如果没有找到ansible-doc命令,那么您需要按照ansible的安装指南进行安装。根据您的操作系统,可以使用包管理器(如yum,apt-get等)进行安装,也可以从ansible的官方网站下载安装包进行手动安装。 如果ansible已经正确安装,但仍然提示找不到ansible命令,那么可能是因为ansible的可执行文件路径没有添加到系统的环境变量中。您可以通过以下步骤来添加环境变量: 1. 打开终端,并使用以下命令查找ansible可执行文件的路径: ``` ansible@control ansible]$ ansible-doc -l | grep yum ``` 2. 将找到的ansible可执行文件路径添加到您的系统环境变量中。具体方法会根据您使用的操作系统而有所不同。例如,在Linux系统中,您可以将以下命令添加到您的`~/.bashrc`文件中: ``` export PATH=$PATH:/path/to/ansible/bin ``` 然后,重新加载您的bash配置文件: ``` source ~/.bashrc ``` 3. 现在尝试再次运行ansible命令,您应该不再收到找不到ansible命令的提示。 另外,关于您提到的使用yum模块进行安装的问题,您可以通过以下命令来安装或升级软件包: ``` ansible node1 -m yum -a 'name=httpd state=latest' ``` 这条命令会在目标主机上使用yum模块安装或升级名为httpd的软件包。如果软件包已经安装并且已经是最新版本,那么ansible会返回一个"changed=false"的结果,表示命令已经执行但没有实际效果。这也体现了ansible的幂等性,即多次执行相同的命令不会产生额外的变化。<span class="em">1</span><span class="em">2</span><span class="em">3</span><span class="em">4</span>

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值