Příspěvky

16

Server / Re:Ubuntu server - ansible - vault password

« kdy: 11. 08. 2021, 08:20:06 »

Zeptal jsem se na ofiko emailové diskuzi a prozatím odpovědi jsou takové, že ani tvůrci ansible nechápou pojem bezpečnost. Klidně nechají válet přihlašovací údaje k účtu s právy suda na tisícovce řízených serverech úplně nezabezpečené, jen tak napsané v cfg a nebo host, případně v yml. Vůbec jim nedoteklo, že s jedním tak silným účtem může kdokoliv dělat na serverech cokoliv. Cokoliv je škodit. Cokoliv je krást či měnit data. Cokoliv je ukrást citlivá data. není to tak? Pak mi poraďte jak je hlásit na podřízené servery pomocí ssh klíčů a heslo k tomu klíči předávat ansible v takové podobě aby on tomu rozuměl ale člověk aby to za 150 let nedokázal rozluštit. Jak na to?

17

Server / Re:Ubuntu server - ansible - vault password

« kdy: 10. 08. 2021, 15:12:49 »

úplně by mi stačilo kdyby mi někdo poradil jak vygenerovat ten soubor password.txt tedy zakryptovat heslo které se používá k přístupu na podřízené (spravované) servery. neříkejte mi že nějaký admin co má pod sebou farmu serverů v bance používá heslo co je zadáno v otevřeném stavu v nějakém souboru na disku. A nebo že si pamatuje 24 znakové heslo které je tak komplikované, že sedá ani přečíst na jeden zátah. Nebo je snad ansible takový shit že s bezpečností vůbec nepočítá? Dyď heslo k privátnímu ssh klíči je určitě důležitější než číslo občanky a rodné číslo když máš na starosti třeba ty bankovní servery.

18

Server / Re:Ubuntu server - ansible - vault password

« kdy: 09. 08. 2021, 10:58:06 »

shrnutí současného stavu.
1. soubor s heslem vygenerován podle návodu https://www.digitalocean.com/community/tutorials/how-to-use-vault-to-protect-sensitive-ansible-data-on-ubuntu-16-04
heslo uloženo do souboru password.txt. Uloženo do složky /home/spravce/.ssh pod právy 0400
v .bashrc podle https://devops.stackexchange.com/questions/703/what-is-ansibles-config-equivalent-of-vault-password-file zadáno :
export ANSIBLE_VAULT_PASSWORD_FILE=/home/spravce/.ssh/password.txt
v ansible.cfg zadáno :
remote_user = spravce
private_key_file = /home/spravce/.ssh/spravce_id_rsa.ppk
vault_password_file = /home/spravce/.ssh/password.txt

v hosts jsou jen ip adresy.
A ping mi ohlásí tohle:

Kód: [Vybrat]

10.10.10.172 | UNREACHABLE! => {
    "changed": false,
    "msg": "Failed to connect to the host via ssh: Load key \"/home/spravce/.ssh/spravce_id_rsa.ppk\": invalid format\r\nspravce@10.10.10.172: Permission denied (publickey,gssapi-keyex,gssapi-with-mic,password              ).",
    "unreachable": true
}

19

Server / Re:Ubuntu server - ansible - vault password

« kdy: 09. 08. 2021, 08:34:15 »

Díky. Pak by mě to co mají v dokumentaci popsáno mělo fungovat. Ale jak mají popsánu bezpečnost je tristní, všude jsou ukázky toho když někdo nechá v systému díru a tohle (nechat volně válet otevřená hesla) je přímo do nebe volající blbost. a chci vidět ajťáka co si bude pamatovat heslo "Z8A6YDqAmDnm9ne" které bude muset zadávat na každý script ručně. Automatizace není, že budu muset sedět u klávesnice a něco spouštět, byť na 100 serverech. automatizace je, že se to bude bezpečně spouštět beze mě a mě to upozorní jen na problém a ten by měl nastat 1x za 20 let. takže jak automaticky spouštět ansible scripty tak abych přístup měl přes ssh klíč a heslo k tomu klíči měl uloženo v kryptované podobě které bude rozumět pouze ansible. Hleslo složité jako název islandské sopky bude pak v písemné podobě uloženo v trezoru kategorie 0 a nikde ne elektronicky kromě té kryptované podoby. To je bezpečnost.

20

Server / Re:Ubuntu server - ansible - vault password

« kdy: 09. 08. 2021, 08:02:37 »

to byl jen pokus, už fakt hledám i drobnosti. Tak například. Dokumentace ansible je o verzi 4 ale mě apt install ansible nainstaloval verzi 2.9.6. Tak jsem prohledal dokumentaci a podle návodu apt remove ansible a raději ještě apt purge ansible, a pak účtem suda spravce pip3 install ansible, grrr, ansible nefungoval na ansible --version, takře pip3 remove ansible a sudo -i a pak pip3 install ansible a měla by se nainstalovat verze 4.5..ale :

Kód: [Vybrat]

spravce@ubuntuserver:~/ansible_sachlj/funguje/update$ ansible --version
ansible [core 2.11.3]
  config file = /etc/ansible/ansible.cfg
  configured module search path = ['/home/spravce/.ansible/plugins/modules', '/usr/share/ansible/plugins/modules']
  ansible python module location = /usr/local/lib/python3.8/dist-packages/ansible
  ansible collection location = /home/spravce/.ansible/collections:/usr/share/ansible/collections
  executable location = /usr/local/bin/ansible
  python version = 3.8.10 (default, Jun  2 2021, 10:49:15) [GCC 9.4.0]
  jinja version = 2.10.1
  libyaml = True

tak co se mi to vlastně ze zdroje pip3 nainstalovalo....tohle jsem řešil v pátek před odchodem z práce.

21

Server / Re:Ansible fetch název soboru se mění

« kdy: 06. 08. 2021, 12:28:01 »

díky za naťuknutí, vyřešeno....

22

Server / Re:Ubuntu server - ansible - vault password

« kdy: 06. 08. 2021, 09:38:41 »

ne a ne to fungovat.
tak jsem zkusil podle návodu:
https://docs.ansible.com/ansible/latest/user_guide/vault.html
konkrétně:

ansible-vault encrypt_string --vault-password-file a_password_file 'foobar' --name 'the_secret'

vytvořit heslo co jsem zkopíroval do souboru password.yml na který se odkazuji v ansible.cfg.
odezva ansible je takováto:

Kód: [Vybrat]

spravce@ubuntuserver:~/.ssh$ ansible debian -m ping
[WARNING]: Error in vault password file loading (default): Problem running vault password script /home/spravce/.ssh/password.yml ([Errno 8] Exec format error: '/home/spravce/.ssh/password.yml'). If this
is not a script, remove the executable bit from the file.
ERROR! Problem running vault password script /home/spravce/.ssh/password.yml ([Errno 8] Exec format error: '/home/spravce/.ssh/password.yml'). If this is not a script, remove the executable bit from the fi             le.

původní chown 0755
změněno tedy na 0644 a odpověď ansiblu je:

Kód: [Vybrat]

10.10.10.183 | UNREACHABLE! => {
    "changed": false,
    "msg": "Failed to connect to the host via ssh: @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@\r\n@         WARNING: UNPROTECTED PRIVATE KEY FILE!          @\r\n@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@\r\nPermissions 0755 for '/home/spravce/.ssh/spravce_id_rsa.ppk' are too open.\r\nIt is required that your private key files are NOT accessible by others.\r\nThis private key will be ignored.\r\nLoad key \"/home/spravce/.ssh/spravce_id_rsa.ppk\": bad permissions\r\nspravce@10.10.10.183: Permission denied (publickey,password).",
    "unreachable": true

chown na 0400
a ansible:

Kód: [Vybrat]

10.10.10.183 | UNREACHABLE! => {
    "changed": false,
    "msg": "Failed to connect to the host via ssh: Load key \"/home/spravce/.ssh/spravce_id_rsa.ppk\": invalid format\r\nspravce@10.10.10.183: Permission denied (publickey,password).",
    "unreachable": true

ten ansible si neumí vybrat co chce.....

23

Server / Re:Ubuntu server - ansible - vault password

« kdy: 06. 08. 2021, 08:37:13 »

zkusím to, díky...

24

Server / Re:Ansible fetch název soboru se mění

« kdy: 06. 08. 2021, 08:36:55 »

vyzkoušeno funguje to...
pls ještě jedna podotázka:
jak vytvořit soubor rovnou s určenými právy?

Kód: [Vybrat]

shell: top -b -n1 > /home/spravce/"$(uname -n)_$(date +"%F %T").log"

mi vytvoří log s právy roota ale jí potřebuji aby ho vytvořil rovnou s právy spravce.

Díky za odpověď

25

Server / Re:ansible fetch název soboru se mění

« kdy: 05. 08. 2021, 19:02:50 »

díky zítra to vyzkouším

26

Server / Re:Ubuntu server - ansible - vault password

« kdy: 05. 08. 2021, 15:49:34 »

BTW, tenhle pozadavek se mi zda absolutne nerealny. Bud neco zasifruji a zahodim klice, pak se k tomu nikdo nedostane. Nebo budu mit neco zasifrovane a od toho klice (popripade Ansible), ale pokud se k tomu klici dostane kdokoliv jiny, tak se dostane i k zasifrovanemu obsahu. Jedina moznost je, co nejvice stizit moznost uniku klicu do nepovolanych rukou. Pokud ale klice nekde existovat budou (a to musi, abych se k obsahu dostal), tak bude vzdy sance, ze je nekdo zneuzije.
Pak je jeste moznost, ze mi neco unika...

ansible umožňuje připojení cestou ssh klíčů, tj šifrovaně, pokud se nepletu, osobní klíč je uložený ve složce .ssh uživatele co má sudo práva na všech řízených serverech. cesta ke klíči se dá nastavit v hosts:

ansible_ssh_private_key_file=cesta ke klíči

a nebo v ansible.cfg

private_key_file =cesta ke klíči

heslo k tomuto soukromému klíči se dá vložit otevřené (což by udělal jen idiot) do souboru hosts

ansible_ssh_pass=nějaké heslo

a nebo konečně správně do souboru který je zašifrovaný a rozumí mu jn ansible a to se určuje v ansible.cfg

vault_password_file =nějaké heslo

. jenže nikde jsem byhen dneškas nenašel jak ten

vault_password_file

vygenerovat, jako má mít strukturu aby tomu ansible rozuměl. když dám heslo do souboru hosts tak tomu rozumí a normálně funguje...

27

Server / Re:Ubuntu server - ansible - vault password

« kdy: 05. 08. 2021, 15:38:39 »

díky, budu zkoušet, ale ansible by měl umět například : v ansible.cfg je možnost:

Kód: [Vybrat]

[privilege_escalation]
#become=True
#become_method=sudo
#become_user=spravce
#become_ask_pass=False

když tohle povolím a v scriptu zakážu tohle:

Kód: [Vybrat]

remote_user: spravce
  become: yes
  become_method: sudo

tak se mi script nespustí..přitom by ansible.cfg mělo mít přednost....a stejná direktiva by se měla vyčíst odsud...

28

Server / Ansible fetch název soboru se mění

« kdy: 05. 08. 2021, 15:35:15 »

Vytvořil jsem script co vygeneruje co běží za procesy na serveru (budou další na chyby a na další ....) co se uloží do souboru s názvem například "ubuntuserver_2021-08-05 15:25:28.log" tj uname -n_vygentovatý čas a datum.log.
pak tento soubor chci z připojené mašiny stáhnout na server co to řídí.

Kód: [Vybrat]

- name: Odeslani logu na ridici server
    fetch:
      src: /tmp/*.log
      dest:/home/spravce/log-process

problém je že nevím jak definovat src: které nemá pevný název, jak definovat ať mi pošle jakýkoliv soubor s příponou log ?? Poradíte?
 

29

Server / Re:Ubuntu server - ansible - vault password

« kdy: 05. 08. 2021, 14:41:44 »

abych nemusel heslo zadávat ručně, což je na pikaču pokud jsou ansible scripty spouštěny cronem tak se v ansible.cfg zadává heslo do souboru, ale na dvojitou pikaču není nikde vysvětleno jak se ten soubor s heslem který vegeneruje...potřebuji tam mít heslo k souboru

Kód: [Vybrat]

private_key_file = 

když dám do hosts tohle:

Kód: [Vybrat]

xx.xx.xx.xxansible_ssh_private_key_file=/home/spravce/.ssh/spravce_id_rsa.ppk ansible_ssh_pass=heslo

tak mi

Kód: [Vybrat]

ansible all -m ping projde normálně

a fungují všechny scripty..já ale to heslo chci mít zakryptované tak aby mu rozuměl jen ansible a nedalo se nijak zjistit..je to tak složité?

30

Server / Re:Ubuntu server - ansible - vault password

« kdy: 05. 08. 2021, 14:20:11 »

podle návodu jsem příkazem:

Kód: [Vybrat]

ansible-vault create --vault-password-file /home/spravce/.ssh/heslo /home/spravce/.ssh/password.yml

kdy v souboru "heslo" je (dejme tomu) jen

Kód: [Vybrat]

Heslo

. vault vygeneroval soubor

Kód: [Vybrat]

password.yml

když v ansible.cfg zapnu

Kód: [Vybrat]

vault_password_file = /home/spravce/.ssh/password.yml

pak :

Kód: [Vybrat]

spravce@sachlj:~/.ssh$ ansible all -m ping
[WARNING]: Error in vault password file loading (default): A vault password must be specified to decrypt data
ERROR! A vault password must be specified to decrypt data