Ubuntu server - ansible - vault password

Re:Ubuntu server - ansible - vault password
« Odpověď #15 kdy: 07. 08. 2021, 21:09:23 »
chown na 0400
a ansible:
Kód: [Vybrat]
10.10.10.183 | UNREACHABLE! => {
    "changed": false,
    "msg": "Failed to connect to the host via ssh: Load key \"/home/spravce/.ssh/spravce_id_rsa.ppk\": invalid format\r\nspravce@10.10.10.183: Permission denied (publickey,password).",
    "unreachable": true
ten ansible si neumí vybrat co chce.....
S ppk formatom ssh fungovat nebude. Skonvertujte si ho do ssh formatu.
« Poslední změna: 07. 08. 2021, 21:12:10 od Death Walker »


Re:Ubuntu server - ansible - vault password
« Odpověď #16 kdy: 09. 08. 2021, 08:02:37 »
to byl jen pokus, už fakt hledám i drobnosti. Tak například. Dokumentace ansible je o verzi 4 ale mě apt install ansible nainstaloval verzi 2.9.6. Tak jsem prohledal dokumentaci a podle návodu apt remove ansible a raději ještě apt purge ansible, a pak účtem suda spravce pip3 install ansible, grrr, ansible nefungoval na ansible --version, takře pip3 remove ansible a sudo -i a pak pip3 install ansible a měla by se nainstalovat verze 4.5..ale :
Kód: [Vybrat]
spravce@ubuntuserver:~/ansible_sachlj/funguje/update$ ansible --version
ansible [core 2.11.3]
  config file = /etc/ansible/ansible.cfg
  configured module search path = ['/home/spravce/.ansible/plugins/modules', '/usr/share/ansible/plugins/modules']
  ansible python module location = /usr/local/lib/python3.8/dist-packages/ansible
  ansible collection location = /home/spravce/.ansible/collections:/usr/share/ansible/collections
  executable location = /usr/local/bin/ansible
  python version = 3.8.10 (default, Jun  2 2021, 10:49:15) [GCC 9.4.0]
  jinja version = 2.10.1
  libyaml = True

tak co se mi to vlastně ze zdroje pip3 nainstalovalo....tohle jsem řešil v pátek před odchodem z práce.

Re:Ubuntu server - ansible - vault password
« Odpověď #17 kdy: 09. 08. 2021, 08:25:46 »
Podle wiki je aktuální ansible:
 
Vývojář   Ansible komunita/ Ansible Inc. / Red Hat Inc.
První vydání   20. února 2012
Aktuální verze   2.11.3 (20. července 2021)
Operační systém   GNU/Linux, Unix-like, macOS, MS Windows
Vyvíjeno v   Python, PowerShell, Shell, Ruby

Takže teď máte asi poslední verzi...
Gréta je nejlepší.

Re:Ubuntu server - ansible - vault password
« Odpověď #18 kdy: 09. 08. 2021, 08:34:15 »
Díky. Pak by mě to co mají v dokumentaci popsáno mělo fungovat. Ale jak mají popsánu bezpečnost je tristní, všude jsou ukázky toho když někdo nechá v systému díru a tohle (nechat volně válet otevřená hesla) je přímo do nebe volající blbost. a chci vidět ajťáka co si bude pamatovat heslo "Z8A6YDqAmDnm9ne" které bude muset zadávat na každý script ručně. Automatizace není, že budu muset sedět u klávesnice a něco spouštět, byť na 100 serverech. automatizace je, že se to bude bezpečně spouštět beze mě a mě to upozorní jen na problém a ten by měl nastat 1x za 20 let. takže jak automaticky spouštět ansible scripty tak abych přístup měl přes ssh klíč a heslo k tomu klíči měl uloženo v kryptované podobě které bude rozumět pouze ansible. Hleslo složité jako název islandské sopky bude pak v písemné podobě uloženo v trezoru kategorie 0 a nikde ne elektronicky kromě té kryptované podoby. To je bezpečnost.

Re:Ubuntu server - ansible - vault password
« Odpověď #19 kdy: 09. 08. 2021, 10:58:06 »
shrnutí současného stavu.
1. soubor s heslem vygenerován podle návodu https://www.digitalocean.com/community/tutorials/how-to-use-vault-to-protect-sensitive-ansible-data-on-ubuntu-16-04
heslo uloženo do souboru password.txt. Uloženo do složky /home/spravce/.ssh pod právy 0400
v .bashrc podle https://devops.stackexchange.com/questions/703/what-is-ansibles-config-equivalent-of-vault-password-file zadáno :
export ANSIBLE_VAULT_PASSWORD_FILE=/home/spravce/.ssh/password.txt
v ansible.cfg zadáno :
remote_user = spravce
private_key_file = /home/spravce/.ssh/spravce_id_rsa.ppk
vault_password_file = /home/spravce/.ssh/password.txt

v hosts jsou jen ip adresy.
A ping mi ohlásí tohle:
Kód: [Vybrat]
10.10.10.172 | UNREACHABLE! => {
    "changed": false,
    "msg": "Failed to connect to the host via ssh: Load key \"/home/spravce/.ssh/spravce_id_rsa.ppk\": invalid format\r\nspravce@10.10.10.172: Permission denied (publickey,gssapi-keyex,gssapi-with-mic,password              ).",
    "unreachable": true
}


Re:Ubuntu server - ansible - vault password
« Odpověď #20 kdy: 10. 08. 2021, 15:00:55 »
shrnutí současného stavu.
1. soubor s heslem vygenerován podle návodu https://www.digitalocean.com/community/tutorials/how-to-use-vault-to-protect-sensitive-ansible-data-on-ubuntu-16-04
heslo uloženo do souboru password.txt. Uloženo do složky /home/spravce/.ssh pod právy 0400
v .bashrc podle https://devops.stackexchange.com/questions/703/what-is-ansibles-config-equivalent-of-vault-password-file zadáno :
export ANSIBLE_VAULT_PASSWORD_FILE=/home/spravce/.ssh/password.txt
v ansible.cfg zadáno :
remote_user = spravce
private_key_file = /home/spravce/.ssh/spravce_id_rsa.ppk
vault_password_file = /home/spravce/.ssh/password.txt

v hosts jsou jen ip adresy.
A ping mi ohlásí tohle:
Kód: [Vybrat]
10.10.10.172 | UNREACHABLE! => {
    "changed": false,
    "msg": "Failed to connect to the host via ssh: Load key \"/home/spravce/.ssh/spravce_id_rsa.ppk\": invalid format\r\nspravce@10.10.10.172: Permission denied (publickey,gssapi-keyex,gssapi-with-mic,password              ).",
    "unreachable": true
}

A není problém v tomto?
Kód: [Vybrat]
Load key \"/home/spravce/.ssh/spravce_id_rsa.ppk\": invalid format

Re:Ubuntu server - ansible - vault password
« Odpověď #21 kdy: 10. 08. 2021, 15:12:49 »
úplně by mi stačilo kdyby mi někdo poradil jak vygenerovat ten soubor password.txt tedy zakryptovat heslo které se používá k přístupu na podřízené (spravované) servery. neříkejte mi že nějaký admin co má pod sebou farmu serverů v bance používá heslo co je zadáno v otevřeném stavu v nějakém souboru na disku. A nebo že si pamatuje 24 znakové heslo které je tak komplikované, že sedá ani přečíst na jeden zátah. Nebo je snad ansible takový shit že s bezpečností vůbec nepočítá? Dyď heslo k privátnímu ssh klíči je určitě důležitější než číslo občanky a rodné číslo když máš na starosti třeba ty bankovní servery.

Re:Ubuntu server - ansible - vault password
« Odpověď #22 kdy: 11. 08. 2021, 08:20:06 »
Zeptal jsem se na ofiko emailové diskuzi a prozatím odpovědi jsou takové, že ani tvůrci ansible nechápou pojem bezpečnost. Klidně nechají válet přihlašovací údaje k účtu s právy suda na tisícovce řízených serverech úplně nezabezpečené, jen tak napsané v cfg a nebo host, případně v yml. Vůbec jim nedoteklo, že s jedním tak silným účtem může kdokoliv dělat na serverech cokoliv. Cokoliv je škodit. Cokoliv je krást či měnit data. Cokoliv je ukrást citlivá data. není to tak? Pak mi poraďte jak je hlásit na podřízené servery pomocí ssh klíčů a heslo k tomu klíči předávat ansible v takové podobě aby on tomu rozuměl ale člověk aby to za 150 let nedokázal rozluštit. Jak na to?

Re:Ubuntu server - ansible - vault password
« Odpověď #23 kdy: 11. 08. 2021, 10:26:34 »
úplně by mi stačilo kdyby mi někdo poradil jak vygenerovat ten soubor password.txt tedy zakryptovat heslo které se používá k přístupu na podřízené (spravované) servery..
a pritom si stacilo precist manual:

https://docs.ansible.com/ansible/latest/user_guide/vault.html#storing-passwords-in-third-party-tools-with-vault-password-client-scripts

Re:Ubuntu server - ansible - vault password
« Odpověď #24 kdy: 11. 08. 2021, 10:40:28 »
Zeptal jsem se na ofiko emailové diskuzi a prozatím odpovědi jsou takové, že ani tvůrci ansible nechápou pojem bezpečnost. Klidně nechají válet přihlašovací údaje k účtu s právy suda na tisícovce řízených serverech úplně nezabezpečené, jen tak napsané v cfg a nebo host, případně v yml. Vůbec jim nedoteklo, že s jedním tak silným účtem může kdokoliv dělat na serverech cokoliv. Cokoliv je škodit. Cokoliv je krást či měnit data. Cokoliv je ukrást citlivá data. není to tak? Pak mi poraďte jak je hlásit na podřízené servery pomocí ssh klíčů a heslo k tomu klíči předávat ansible v takové podobě aby on tomu rozuměl ale člověk aby to za 150 let nedokázal rozluštit. Jak na to?

On bude asi problem v tom, ze jste dodnes nepochopil, ze vicefaktorove prihlasovani se mezi servery casto nepouziva, protoze dalsi faktor neni jak zadat.

Re:Ubuntu server - ansible - vault password
« Odpověď #25 kdy: 11. 08. 2021, 13:24:15 »
Kód: [Vybrat]
spravce_id_rsa.ppk\": invalid format

Ppk je format kluca ktory pouziva putty, skonvertujte si ho do formatu ssh ktore pouziva ansible.

Ad to ze team ansible nechape bezpecnost. Ansible ako take nie je bezobsluzna automatika, predpoklada sa ze bude spustene na stanici spravcu. Ak chcete automatiku pri ktorej bude jeden server spravovat ostatne servre tak sa pozrite na ansible tower.

Re:Ubuntu server - ansible - vault password
« Odpověď #26 kdy: 11. 08. 2021, 13:53:45 »
už neřešit. vyřešeno...ansible sám o sobě neumí zašifrovat a utajit spojení s podřízenými servery a jeho vault je jen na hesla ke službám které obsluhuje - třeba sql server. pro utajené spojení se používá vault jako apka, server, služba která tohle řídí mezi serverem kde je ansible spouštěno a podřízenými (řízenými) servery..je to složitější na pochopení, sám to nechápu ale pouštím se do studia jak na to...ansible by tohle ale měl zahrnout do sebe...tohle by měl umět rovnou...