Система управления конфигурациями, которой не обязателен ssh?

Что тебе нужно то конкретно, возьми какой-нить rpc

obfsproxy не подойдет?

ansible (python) хочет подключаться к нодам по ssh и на 22-м порту

Порт-то можно поменять, а вот протокол — только ssh.

Ну раз ты такой шпион то и поставь Tor Hidden Service

http://docs.ansible.com/ansible/latest/intro_inventory.html#list-of-behaviora...

В инвентори можно задавать параметры подключения, в том числе порт SSH

Saltstack смотрел? Там вроде бы можно обойтись коннектами от мастера с подчинённым, без SSH.

Извините, а порт назначения не меняется?

или даже так http://drwho.virtadpt.net/archive/2017-12-02/administering-servers-over-tor-u...

git + cron + ansible-pull

забыл тег «хочу странного»

я себе давно такую штуку написал. но только в обратную сторону. агенты сами ходят за задачами и их исполняют.

Будет интересно - ищи меня в телеге @MikeDM

Не меняется. Он прибит к агенту мониторинга поскольку именно вместо последнего трафик и должен ходить (реальный агент перемещается на loopback).

Saltstack смотрел?

Спасибо, погляжу, что за зверь такой!

Протокол слишком легко палится, и глаз у безопасников на него намётан: если вдруг по 10050-му начнёт ходить распознанный ssh-трафик - всё это великолепие быстро пресекут. А вот протокол того же агента мониторинга и тем более какой-то никому не интересной системы управления конфигурациями - не обращает на себя внимания, и это именно то, чего и нужно добиться.

Очень неплохая штука в целом. Там действительно master <> agent композиция и она покрывает 100% возможностей системы, но возможна работа и по ssh (если хочется странного).

In addition, instead of using multi-master mode, the minion can be configured to use the list of master addresses as a failover list, trying the first address, then the second, etc. until the minion successfully connects. To enable this behavior, set master_type to failover:

minion'ам зачем-то вынь, да положь нужно подключаться к мастеру, а у меня с этим проблема. Можно только от мастера к агентам/миньонам, а не наоборот. А здесь и в ту сторону, и в обратную коннекты... Или можно обойти как-то?

Это безнадёжно:

The Salt master communicates with the minions using an AES-encrypted ZeroMQ connection. These communications are done over TCP ports 4505 and 4506, which need to be accessible on the master only. This document outlines suggested firewall rules for allowing these incoming connections to the master.

Note

No firewall configuration needs to be done on Salt minions. These changes refer to the master only.

В идеале хотелось бы, чтобы мастер коннектился к своим нодам на порту X и общался с ними по своему протоколу, который фаерволлам неведом/неинтересен.

То есть если у вас на кучу нод будет идти какой-то левый трафик то безопасники им не заинтересуются? Или если какой-нибудь voip на хосты где стоят только базы да вебсервера?

Так то проще уж смотреть какой трафик точно не будет вызывать подозрений и городить велосипеды в зависимости от этого. Например, у вас на хосте стоит nginx - запилите какой-нибудь демон, который будет принимать таски в виде какого-нибудь куска http-запроса.

Но вообще тут два варианта - либо соблюдать регламенты, либо валить. Если ваша задача - обслуживание *nix-серверов, при этом по ssh вы ходить не можете - это дурь какая-то.

Насколько мне известно возможно только инициация подключения от миньонов к серверу и это вроде как не настраивается. Подробнее вот тут.

ОК. Это инфраструктура Zabbix, в которой куча однотипных задач выполняется на всех серверах/прокси. Соотв., хотелось бы фигачить задачи на прокси-серверы с сервера zabbix.

Есть 2 варианта: либо понавставлять фейковых UserParameter'ов в конфиг агента - и дёргать что-то вроде fake_cmd[«this_needs_to_be_executed»], но это не только неудобно само по себе, но и убого в плане функционала (по сути-то cms и нужна, а не тупо возможность выполнять команды), да ещё и sudo на хостах настраивается централизованно, а значит даже просто сигнал прокси-серверу zabbix я не могу отправить такой командой, а это одна из очень распространённых задач: активные прокси-серверы реконфигурируются отправкой сигнала главному их процессу, но этот процесс работает под root'ом.

Синхронизацию SNMP MIB файлов я уже почти доделал через rsync на всех прокси-серверах (демон rsync работает на порту для агента мониторинга), но хотелось бы всё-таки полноценный cms. который СУК.

P.S. О том, почему сам сервер Zabbix ни черта не умеет управлять своими же сателлитами-прокси я умолчу: что есть - то есть.

P.P.S.

Интересно девки пляшут, что ж я раньше-то не проверил:

$ sudo -u zabbix /usr/sbin/zabbix_proxy -R config_cache_reload
zabbix_proxy [10325]: command sent successfully

Да, можно всё же через агента реконфигурировать прокси.