Ansible шифрование пароля

0

1

Уважаемые. Прошу Вашего совета.

Подскажите, как хорошо и верно зашифровать пароль в Ansible. Что имееем?

ansible 2.8.4
  config file = /etc/ansible/ansible.cfg
  configured module search path = [u'/home/deb/.ansible/plugins/modules', u'/usr/share/ansible/plugins/modules']
  ansible python module location = /usr/lib/python2.7/site-packages/ansible
  executable location = /usr/bin/ansible
  python version = 2.7.5 (default, Aug  7 2019, 00:51:29) [GCC 4.8.5 20150623 (Red Hat 4.8.5-39)]

Что нужно? Нужно сказать пароль в зашифрованом виде, желательно чтобы клиент понял.

В чём загвоздка? При использовании ansible-vault encrypt_string - переменная в команде, для примера mysql -u user -p {{ password_mysql }}

Если данная строка содержит ошибку или завершается с ошибкой - пароль в открытом виде выводится в консоль вместе с командой.

Хранить пароль в password_file - лучше сразу пароль отдать.

И в любом случае нужно вводить --ask-vault-pass.

А как сделать без --ask-vault-pass если я хочу дать права пользователю запустить task с помощью Jenkins?

Что почитать по данной теме?

Ссылка

←	HTTPS непонятки

Vipnet пароль

→

Есть ли ок конвертировать :

python -c 'import crypt; print(crypt.crypt("pass","$6$saltsalt$"))'

И как заставить ansible разжевать строку на другой стороне?

Есть дефолтная функция - {{ upassword | password_hash('sha512') }}

Но тогда upassword - в открытом виде.

i3wm
(27.09.19 13:29:15 MSK) автор топика

Ссылка

no_log; true

kernelpanic ★★★★★
(27.09.19 17:30:58 MSK)

Ссылка

vault-pass-file или как-то так

PunkoIvan ★★★★
(27.09.19 18:33:02 MSK)

ansible-vault

Выкинь гавёху и открой для себя git-crypt.

anonymous
(27.09.19 20:34:52 MSK)

Ответ на: комментарий от anonymous 27.09.19 20:34:52 MSK

Вот здесь уже интереснее. Благодарю.

i3wm
(27.09.19 21:44:17 MSK) автор топика

Ссылка

Ответ на: комментарий от PunkoIvan 27.09.19 18:33:02 MSK

Если я не ошибаюсь vault-pass-file предполагает наличие в файле пароля.

В открытом виде.

i3wm
(27.09.19 21:46:20 MSK) автор топика

Ответ на: комментарий от i3wm 27.09.19 21:46:20 MSK

vault-pass-file предполагает наличие в файле пароля

Там, вроде, можно программу указать, соответственно пароль получать откуда-то извне. Например, если VAULT_PASSWORD_FILE=

#/bin/sh
keyctl pipe $(keyctl search @s user vaultpassword)

и добавить заполнение оного ключа в старт использующего сервиса и выпить достаточно сильного успокаивающего, можно спать спокойно.

DonkeyHot ★★★★★
(30.09.19 07:57:56 MSK)

Ссылка

3 декабря 2019 г.

Подскажите, как хорошо и верно зашифровать пароль в Ansible.

а как собираешься его расшифровывать? Передавать какие-то данные?

iamdenchik
(03.12.19 09:33:36 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	HTTPS непонятки

Security

Vipnet пароль

→

vault-pass-file предполагает наличие в файле пароля

Похожие темы