Як я можу зменшити багатослів’я певних завдань, що відповідають питанням, щоб не просочувати паролі в syslog?

Іноді я хотів би використовувати Ansible's lineinfileабо blockinfileмодулі, щоб записати пароль у якийсь файл конфігурації. Якщо я це роблю, весь рядок або блок, включений пароль, закінчується моїм syslog.

Оскільки я не вважаю syslogбезпечним місцем для зберігання моїх паролів, як я можу сказати Ansible не впускати свій пароль syslog? Я сподіваюся, що є спосіб це зробити, інакше я вважаю це великою проблемою безпеки в Ansible.

Ви можете відтворити його, наприклад, за допомогою цієї спеціальної команди:

ansible localhost -m blockinfile -a 'dest=/tmp/ansible_password_leak create=yes block="Password = {{password}}"' -e 'password=secret'

Ось що закінчується в syslog:

ansible-blockinfile: Invoked with directory_mode=None force=None remote_src=None insertafter=None owner=None follow=False marker=# {mark} ANSIBLE MANAGED BLOCK group=None insertbefore=None create=True setype=None content=None serole=None state=present dest=/tmp/ansible_password_leak selevel=None regexp=None validate=None src=None seuser=None delimiter=None mode=None backup=False block=Password = secret

Для прикладу я використав Ansible 2.0.0.2 з офіційної PPA Ansible Ubuntu в системі Debian "Jessie" 8.

В no_log атрибутах приховують дані в системному журналі. Його можна застосувати до одного завдання

- name: secret task
  shell: /usr/bin/do_something --value={{ secret_value }}
  no_log: True

або ігрова книга:

- hosts: all
  no_log: True

Налагодження дійсно неможливо при активації, тому рекомендується використовувати його лише для окремих завдань. Ця функція доступна з версії 1.5 Ansible . Як зазначено в оголошенні про випуск версії 1.5:

Завдання тепер також можуть скористатися параметром "no_log = True", щоб запобігти потраплянню в syslog чутливі завдання. (Параметри, схожі на паролі, вже відфільтровані)

паролі повинні фільтруватися в більшості випадків.

Я розробив плагін зворотного виклику, щоб приховати паролі для вихідних даних за замовчуванням, він розбирає словник виводу для ключа, що містить пароль , для кожного з них він замінює значення на ********.

Створіть файл із іменем protect_data.pyу папці ./plugins/callback Додати додати цей код:

from ansible.plugins.callback.default import CallbackModule as CallbackModule_default
import os, collections

class CallbackModule(CallbackModule_default):
    CALLBACK_VERSION = 2.0
    CALLBACK_TYPE = 'stdout'
    CALLBACK_NAME = 'protect_data'

    def __init__(self, display=None):
        super(CallbackModule, self).__init__(display)

    def hide_password(self, result):
        ret = {}
        for key, value in result.iteritems():
            if isinstance(value, collections.Mapping):
                ret[key] = self.hide_password(value)
            else:
                if "password" in key:
                    ret[key] = "********"
                else:
                    ret[key] = value
        return ret

    def _dump_results(self, result, indent=None, sort_keys=True, keep_invocation=False):
        return super(CallbackModule, self)._dump_results(self.hide_password(result), indent, sort_keys, keep_invocation)

У файлі ansible.cfg :

• рядок прокомментировать stdout_callbackі встановити ім'я цього плагіна значення ( stdout_callback=protect_data)
• рядок відміни callback_pluginsта встановлене значення./plugins/callback

Вихід модифікується лише для цього плагіна, якщо ви використовуєте інший плагін для відображення виводу ( logentries, ...), ви повинні зробити те ж саме з ним

Можна припустити, що використання Vault замість цього усуне проблему.