1. Blog
  2. PL
  3. Administracja

Administracja

Szybkie wdrożenie kluczy Ansible na zewnętrznym serwerze

Generowanie klucza

Przed rozpoczęciem pracy z Ansible, należy na swoim komputerze wygenerować certyfikat za pomocą którego będziemy się łączyć z naszymi serwerami.

ssh-keygen -f ~/.ssh/ansible -t rsa -C  ansible -b 4096

Musi też on mieć odpowiednie uprawnienia. Inaczej klucz nie zostanie wzięty pod uwagę przez ssh:

chmod 700 ~/.ssh
chmod 600 ~/.ssh/*

Wdrażanie klucza na zewnętrznym serwerze

Nasz klucz możemy skopiować na zewnętrzny serwer po przez program ssh-copy-id:

ssh-copy-id -i ~/.ssh/ansible.pub ansible@10.0.0.1

Następnie celem sprawdzenia poprawności wykonania się polecenia możemy wykonać próbę logowania:

ssh  -i ~/.ssh/ansible.pub ansible@10.0.0.1

Następnie po zalogowaniu się na zewnętrzny serwer, możemy wykonać poniższe polecenia (dla ułatwienia kopiowania, zapisałem go w formie kopiuj-wklej do konsoli ssh):

# Dodanie użytkownika ansible
adduser ansible

# Usunięcie mu hasła
passwd -d ansible

# Dodanie możliwości by wykonywał polecenia z poziomu sudo, bez hasła
cat << EOF >/etc/sudoers.d/ansible
ansible ALL = (ALL) NOPASSWD:ALL
EOF
chmod 0440 /etc/sudoers.d/ansible

Bonus

Przy posiadaniu wielu serwerów, ciągłe logowanie po przez ssh-copy-id, może być męczące. Poniżej przestawiam metodę, która pozwoli na wklejanie kluczy na zasadzie kopiuj-wklej.

Metoda da korzysta z jednego klucza (co jest bardzo niebezpieczne i nie zalecane), lecz dzięki niej możemy za pomocą Ansible dostać się na maszyny. Po czym możemy zmienić klucze za pomocą naszych playbooków na bardziej bezpieczne, przy założeniu jeden klucz na jedną maszynę.

# Logujemy się jako użytkownik ansible:
su ansible

# Tworzymy na nim nasz folder do logowania się:
mkdir -p /home/ansible/.ssh

# Wklejamy zawartość pliku ~/.ssh/ansible z naszego komputera:
cat << EOF >/home/ansible/.ssh/authorized_keys
ssh-rsa <tu_bedzie__wartosc pliku_ssh_ansible> ansible
EOF

# Ustawiamy odpowiednie uprawnienia:
chmod 700 /home/ansible/.ssh
chmod 600 /home/ansible/.ssh/authorized_keys
chown ansible:ansible /home/ansible/.ssh -R

*Czasami wymagane jest róznież zezwolenie na logowanie się po przez ssh, w pliku /etc/sshd/sshd.conf, dodając wpis do AllowUsers. Oczywiście taka zmiana, wymaga zrestartowania usługi.

  • 16:09, 16-09-2024

Kamil Mirończuk

I kiedy czegoś gorąco pragniesz, to cały wszechświat sprzyja potajemnie twojemu pragnieniu
~Paulo Coelho

Komentarze

Zostaw komentarz

Twój adres mailowy NIE zostanie opublikowany. W razie otrzymania zapytania, otrzymasz na niego odpowiedź.
Wymagane pola są oznaczone jako *

Wyszukaj:

Kategorie:

Ostatnie posty:

Receptura na bezpieczne użycie redis-a/memcached

Instalacja globalnie konkretnej wersji node

WSL i CMD uruchamiane z kontekstowego menu w Windowsie

Pełne zablokowanie reklam na androidzie + darmowe YouTube w tle

Szybkie wdrożenie kluczy Ansible na zewnętrznym serwerze

Porównanie Factory Method oraz Abstract Factory

Zautomatyzowany, rotowany backup serwera MySQL

Ansible - automatyzacja wdrażania zabbix-agent z użyciem

Podmiana w locie adresu witryny - czyli apache jako proxy

Ansible - tworzymy podwaliny pod usługę BackupPC

[en] How to make Haproxy forward client IP address in TCP mode to Apache?

Budujemy własny motyw w stylu DarkCleanMatrix dla chrome/firefox-a

Wyszukiwarka BigData - cz. 3 Tunele i VPN-y... czyli o tym jak pokonać NAT

Wyszukiwarka BigData - cz. 2 Django

Wyszukiwarka BigData - cz. 1 Przygoda z Celery

Budujemy własny Blockchain - cz. 3 Piszemy testy (+wyzwanie)

Klasa do odczytu pogody - Piszemy testy API

Budujemy własny Blockchain - cz. 2 Łączymy bloki

Budujemy własny middleware - Blokada ekranu

Budujemy własny Blockchain - cz. 1 Pierwszy blok

Dobre praktyki (+ mini ściągawka)

Gitlab CI/CD - recepta na farmę dockerów

Wydajna baza danych na dockerze - wprowadzenie

Wyświetlanie w modalu, dynamicznych treści z użyciem Django REST framework

(Nie)codzienna obsługa plików graficznych i nie tylko

Procedura optymalizująca liczbę procesów na bazie danych

ProxySQL - jako nowoczesny system loadbalancingu

Bezpieczne środowisko oparte na dockerze