Ansible_note:管理Ansible配置文件,控制端普通用户提权

已于 2024-06-06 19:46:54 修改
阅读量687 收藏 29
点赞数 12
文章标签: ansible 服务器 运维
于 2024-06-05 22:39:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_74812406/article/details/139470567
版权

目录

一、管理Ansible配置文件

1../ansible.cfg

2.~/.ansible.cfg

3./etc/ansible/ansible.cfg

4.优先级概述

二、Ansible配置文件结构

1.[defaults]

2.小实验

2.0 实验准备

2.1 建立ansible目录,以及主机清单inventory

2.2 编辑ansible配置文件

2.3 验证

三、ansible控制端普通用户sudo提权

0.准备步骤

1.建立Ansible目录以及主机清单inventory

2.编辑ansible.cfg配置文件

3.测试是否ping通受控主机

4.尝试在受控主机执行fdisk --list

5.sudo提权

5.1 在受控端编辑/etc/sudoers文件

5.2 配置ansible.cfg文件,加入[privilege_escalation]

5.3 测试

一、管理Ansible配置文件

配置ansible,可以通过修改ansible配置文件中的设置来自定义ansible的安装行为。

ansible从受控节点多个可能得位置之一选择其配置文件。

1../ansible.cfg

配置文件./ansible.cfg,范围:当前目录

前面有个点("."),别看漏了!!!

如果执行ansible命令的目录中存在ansible.cfg文件,则使用它,而不是全局文件或用户的个人文件。这样,管理员可以创建一个目录结构,将不同的环境或项目存储在单独的目录中,并且每一目录包含为独特的一组设置二定制的配置文件

2.~/.ansible.cfg

配置文件~/.ansible.cfg,范围:用户家目录

ansible在用户目录中查找.ansible.cfg文件。如果存在此配置并且当前工作目录中也没有ansible.cfg 文件,则使用此配置取代/etc/ansible/ansible.cfg

3./etc/ansible/ansible.cfg

配置文件/etc/ansible/ansible.cfg 范围:/etc

ansible软件包提供的一个基本的配置文件,它位于/etc/ansible/ansible.cfg。如果找不到其他配置文件,则使用此配置文件

4.优先级概述

./ansible.cfg > ~/.ansible.cfg > /etc/ansible/ansible.cfg

可以看出范围越小就越容易找到,优先级就越高 

默认使用/etc/ansible/ansible.cfg文件

ansible会根据配置文件的优先级更新,选出唯一的ansible配置文件,其余配置文件将失效,如下:

[root@controller ~]# ansible --version | grep "config file"
  config file = /etc/ansible/ansible.cfg
[root@controller ~]# touch .ansible.cfg
[root@controller ~]# ansible --version | grep "config file"
  config file = /root/.ansible.cfg
[root@controller ~]# touch ansible.cfg
[root@controller ~]# ansible --version | grep "config file"
  config file = /root/ansible.cfg

二、Ansible配置文件结构

参考https://github.com/ansible/ansible/blob/stable-2.9/examples/ansible.cfg

1.[defaults]

[defaults]

# some basic default values...

#inventory      = /etc/ansible/hosts        #资产清单路径
#library        = /usr/share/my_modules/
#module_utils   = /usr/share/my_module_utils/
#remote_tmp     = ~/.ansible/tmp
#local_tmp      = ~/.ansible/tmp        # 临时文件存放路径,在自己定义配置文件的时候,remote_tmp 和local_tmp不需要管
#plugin_filters_cfg = /etc/ansible/plugin_filters.yml
#forks          = 5
#poll_interval  = 15
#sudo_user      = root
#ask_sudo_pass = True
#ask_pass      = True        #连接受管主机时,是否要求输入密码
#transport      = smart
#remote_port    = 22        #连接受管主机的远程端口
#module_lang    = C
#module_set_locale = False

2.小实验

2.0 实验准备

切换到kavin普通用户(Ansible工作目录:/home/kavin/ansible)

su - kavin 

su - kavin 和su kavin 的区别:

在Linux系统中,su - kavinsu kavin是两种不同的切换用户的方式。

  1. su - kavin:使用su -命令以及-选项来切换到用户"kavin"。这种方式会启动一个新的登录会话,并且会加载目标用户的环境变量和配置文件。这意味着你将以"kavin"用户的身份登录,并且会获得与"kavin"用户相同的环境设置。

  2. su kavin:使用su命令后跟用户"kavin"来切换到该用户。这种方式不会加载目标用户的环境变量和配置文件,而是保留当前用户的环境设置。这意味着你将切换到"kavin"用户,但是环境变量和配置文件将保持不变。

因此,su - kavin会提供一个全新的登录会话,而su kavin只是切换到"kavin"用户而已。通常情况下,如果你需要完全以目标用户的身份进行操作,包括使用其环境变量和配置文件,建议使用su - kavin

2.1 建立ansible目录,以及主机清单inventory

[root@controller ~]# su - kavin
[kavin@controller ~]$ mkdir ansible
[kavin@controller ~]$ cd ansible/
[kavin@controller ansible]$ touch ansible.cfg
[kavin@controller ansible]$ ls
ansible.cfg  

[kavin@controller ansible]$ vim inventory
[kavin@controller ansible]$ cat inventory
[servers]        #建立servers组
node1.lab.example.com
node2.lab.example.com


2.2 编辑ansible配置文件

[kavin@controller ansible]$ vim ansible.cfg
[kavin@controller ansible]$ cat ansible.cfg
[defaults]

inventory = /home/kavin/ansible/inventory        #主机清单的路径

remote_port = 22        #受管主机远程连接的端口

remote_user = root        #受管主机远程连接的登录用户

ask_pass = True        #是否需要密码验证

2.3 验证

[kavin@controller ansible]$ ansible all --list-hosts        #列出受管主机清单
SSH password:
  hosts (2):
    node1.lab.example.com
    node2.lab.example.com

ssh免密登录

将ask_pass = True改为ask_pass = False即可

[defaults]

inventory = /home/kavin/ansible/inventory       

remote_port = 22        

remote_user = root        

ask_pass = false

 测试:

此时不再需要密码验证

三、ansible控制端普通用户sudo提权

0.准备步骤

切换elysia普通用户(Ansible工作目录:/home/elysia/etc/inventory)

1.建立Ansible目录以及主机清单inventory

 [elysia@controller ~]$ su - elysia
[elysia@controller ~]$ mkdir ansible
[elysia@controller ~]$ cd ansible
[elysia@controller ansible]$
[elysia@controller ansible]$ vim inventory
[elysia@controller ansible]$ cat inventory
[servers]
node1.lab.example.com
node2.lab.example.com

2.编辑ansible.cfg配置文件

 [elysia@controller ansible]$ vim ansible.cfg
[defaults]
inventory = /home/elysia/ansible/inventory
remote_port = 22
remote_user = elysia
ask-pass = false

3.测试是否ping通受控主机

[elysia@controller ansible]$ ansible all -m ping

4.尝试在受控主机执行fdisk --list

[elysia@controller ansible]$ ansible all -m shell -a "fdisk --list"

 可以看到报错:Permission denied,原因是普通用户执行fdisk --list,这是root用户才有的权限,那么如何解决这个问题呢,方法一:sudo提权;方法二:su提权。这里推荐使用sudo提权 

5.sudo提权

5.1 在受控端编辑/etc/sudoers文件

使用visudo键入以下行,visudo效果等同于vim /etc/sudoers

node1上:

elysia  ALL=(ALL)       NOPASSWD: ALL

[root@node1 ~]# visudo
[root@node1 ~]# grep elysia /etc/sudoers
elysia  ALL=(ALL)       NOPASSWD: ALL

109 ## Same thing without a password
110 # %wheel        ALL=(ALL)       NOPASSWD: ALL
111 elysia  ALL=(ALL)       NOPASSWD: ALL

同理,我们在node2上进行相同操作。

5.2 配置ansible.cfg文件,加入[privilege_escalation]

在ansible控制端编辑ansible.cfg

[defaults]
inventory = /home/elysia/ansible/inventory
remote_port = 22
remote_user = elysia
ask-pass = false
[privilege_escalation]          #权限提升配置项                                    

become = true           #是否需要提权
become_method = sudo            #提权的方式:sudo                                  

become_user = root              #提权到root                                     

become_ask_pass = false         #是否需要输入密码   

5.3 测试

[elysia@controller ansible]$ ansible all -m shell -a "sudo fdisk --list"

提权成功

九制橘皮茶
关注
ansible copy模块_ansible超详细讲解,值得收藏
weixin_39612817的博客
11-21 2736
如果做过运维或者网站开发的朋友,一定接触过服务部署,那么一般的服务部署流程是什么呢?找一台Linux机器,安装好运行环境所需要的软件,然后把服务部署上去。一台机器可以这么做,如果是集群呢?每一台都要这么做。假如我们管理了几百台机器,突然有一天公司要求在所有机器上都安装某一款软件,那么手动显然是不行的,这个时候就必须要借助自动化脚本来完成这项任务了。自动化执行的方式有很多种,最原始的就是shell脚...
Jenkins+Ansible+Gitlab:通过curl自动推送文件&gitlab自动触发构建
波士地盘
01-03 1266
Jenkins通过curl自动推送文件&gitlab自动触发构建 需求 通过url参数,自动将gitlab文件推送到指定环境的机器目录下 可用变量 http://server/env-vars.html #执行脚本,查看输出内容 echo $BRANCH_NAME #For a multibranch project, this will be set to the name o...
7.2: sudo提权Ansible配置 、 Ansible Playbook 、 Ans.docx
03-05
7.2: sudo提权Ansible配置 、 Ansible Playbook 、 Ans.docx
Ansible 学习总结(8)—— Ansible 控制提权相关知识总结
科技D人生
06-21 1502
对于初学 ansible 的小伙伴提权配置大都是通过配置 ansible.cfg 的方式来配置提权,通过配置的文件的方式配置的提权,对所有执行的剧本角色有提权,这样的好处是,简单方便,但是有一定的风险,任何命令都通用过 root 来执行,即任何进程都是具有系统的最高权限,对于黑客来讲,最想得到的即 root 权限,如果进程被植入了木马病毒之类,控制了进程即拥有 root 权限。所以任何命令通过 root 来执行是一件很危险的事。所以从安全角度考虑,要遵循最小权限原则,即要求系统只授予主体必要的权限,而不要过
ansible普通用户sudo权限问题,使用become提权到root用户
05-24 753
ansible控制主机inventory hosts文件,与root用户连接的区别是加了几个become的参数。ansible的become提权配合linux的sudo提权。需要修改受控机的/etc/sudoers文件。二、ansible inventory hosts文件配置。受控主机用root用户输入visudo添加如下配置。一、受控机/etc/sudoers配置。
ansible控制主机和受控主机之间免密及提权案例
wjs_6667的博客
08-02 1723
node2机子一样的设置,只需要给%wheel添加一个NOPASSWD,这个%代表组的意思,就是添加在组里面,这个组都可以访问,不需要密码。为了确保在ansible执行中,各个主机不会受到这些限制,我们可以提供密钥保存到各个主机上,以实现免密登陆效果。是一个用于生成SSH密钥对的命令行工具。是一个方便的工具,用于将本地计算机上的公钥复制到远程服务器的授权密钥列表中,以实现无密码的SSH登录。是一个方便的工具,用于将本地计算机上的公钥复制到远程服务器的授权密钥列表中,以实现无密码的SSH登录。
Ansible#全局变量、剧本变量、资产变量、Facts变量
kakaops_qing的博客
11-05 3440
变量定义、控制结构的使用等特性
ansible.cfg配置_如何在Ubuntu 20.04上安装和配置Ansible
08-16 1082
ansible.cfg配置 介绍 (Introduction) Configuration management systems are designed to streamline the process of controlling large numbers of servers, for administrators and operations teams. They allow you...
dev-server-role:用于ubuntu开发环境的ansible配置
02-13
临时ubuntu开发环境配置 PostgreSQL,泊坞窗,nodejs 12,oh-my-zsh 使用的角色 生成文件 在运行make命令之前: 导出AWS凭证 在本地添加SSH密钥 (可选)使用您的AWS密钥名称设置必需的Terraform变量 设置示例: ...
ansible常用模块
w2535636586的博客
10-23 1675
ansible常用模块
普通用户ansible提权执行特权操作
人间仙境
09-04 1857
现有一个普通用户user01(密码已知),该用户已经添加了sudo权限。现在使用ansible的yum模块安装httpd。
ansible提权之become_method与become_flags详解
最新发布
qq_62311779的博客
06-21 1415
su 常见选项总结: -c "command"(执行指定的命令)、-l(模拟完整的登录,加载用户的环境变量)、-r(模拟完整的登录,加载用户的环境变量,与 -l 类似)、-m 或 -p(保留当前环境变量)、-s /bin/bash(指定要使用的 shell)、-f(快速模式,不执行 .profile 文件)。 sudo 常见选项总结: -H(切换用户的 HOME 环境变量为目标用户的主目录)、-S(从标准输入读取密码,通常用于非交互式环境)、-u username(指定以哪个用户身份执行命令
Ansible基础1——介绍安装、清单文件、配置文件、临时命令参数、常用功能模块
百慕卿君博客
05-30 2683
1、ansible发展起源和基本安装。 2、清单文件编写,配置文件优先级 3、临时命令参数释义实战 4、常用功能模块实战
ansible配置普通用户使用sudo权限
red_sky_blue的专栏
01-11 790
become_user=root *//********设置为root账户,相当于我们以普通账户登入到远程主机时,再使用su - root切换为root账户。become=True ***//使用“true”或“yes”来表示启用这个特权,如:become=true表示打开了become开关。前提是,普通用户,已经设置了sudo权限。become_method=sudo *//********表示用什么方式将普通账户切换到root或所需的其他账户,这里可以用su或sudo。
Ansible Privilege Escalation
Claroja
09-29 1226
become 为另一个用户,不同于登录的用户,比如-u或者ansible_ssh_user,而是类似于sudo,su Directives 参数 描述 become set to yes to activate privilege escalation. become_user become_method become_flags 连接参数 参数 描述...
ansible-playbook权限提升多种方式
一个80后IT之路
07-08 2577
ansible-playbook 可以方便快速的批量执行部署和运维任务,对于不同的场景和服务器,需要使用不同的权限提升方式。 最佳实现:为了提高playbook的兼容性,跟功能没有直接关系的权限提升脚本,不要出现在palybook正文中,可以在ansible-playbook运行的时候,通过-e传入 场景一:我们有服务器的root密码,而且允许root直接登陆。 ansible-playbook ...
管理ANSIBLE配置文件
qq_59323864的博客
05-26 187
1、创建目录/home/student/deploy-manage , 并切换到该目录下。 创建目录 mkdir ~/deploy-manage 切换到目录 cd ~/deploy-manage 2、在该目录下编辑新文件ansible.cfg ,在该文件创建[defaults]部分,在这一部分中,添加一行以使用inventory指令将./inventory 文件指定为默认清单。 vim ansible.cfg 添加内容: [defaults] inventory = ./inventory 3、
Ansible配置中的常用参数
weixin_45267059的博客
12-27 1972
ansible的基本信息: /etc/ansible/ansible.conf ##全局配置文件,默认很少修改 /etc/ansible/hosts ##全局主机清单清单文件 ####.Ansible配置文件参数详解#### ansible 清单中组名称 -m 模块 -u remote_user #1.配置文件的分类与优先级 /etc/ansible/ansible.cfg #基本配置文件,找不到其他配置文件此文件生效 ~/.ansible.cfg...
管理ansible配置文件
m0_60154718的博客
05-07 342
首先以student用户身份并使用student作为密码登录workstation. 在workstation 上,运行lab deploy-manage start 命令。此脚本将确保受管主机 servera 可在网络上访问。 [student@workstation ~]$ lab deploy-manage start Setting up workstation for lab exercise work: · ansible package i...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值