पासवर्ड को लीक करने के लिए नहीं करने के लिए मैं कुछ उत्तर देने योग्य कार्यों की क्रियाशीलता को कैसे कम कर सकता हूं?

कभी-कभी मैं किसी कॉन्फ़िगरेशन फ़ाइल में पासवर्ड लिखने के लिए Ansible lineinfileया blockinfileमॉड्यूल का उपयोग करना चाहूंगा । अगर मैं ऐसा करता हूं, तो पूरी लाइन या ब्लॉक, पासवर्ड शामिल है, मेरे में समाप्त होता है syslog।

जैसा कि मैं syslogअपने पासवर्ड को संग्रहीत करने के लिए एक सुरक्षित जगह नहीं मानता , मैं कैसे बता सकता हूं कि अंसिबल अपना पासवर्ड लीक न करे syslog? मुझे उम्मीद है कि ऐसा करने का एक तरीका है, अन्यथा मैं इसे अंसिबल में एक बड़ी सुरक्षा समस्या मानूंगा।

आप इसे इस तदर्थ आदेश के साथ उदाहरण के लिए पुन: उत्पन्न कर सकते हैं:

ansible localhost -m blockinfile -a 'dest=/tmp/ansible_password_leak create=yes block="Password = {{password}}"' -e 'password=secret'

यहाँ क्या है syslog:

ansible-blockinfile: Invoked with directory_mode=None force=None remote_src=None insertafter=None owner=None follow=False marker=# {mark} ANSIBLE MANAGED BLOCK group=None insertbefore=None create=True setype=None content=None serole=None state=present dest=/tmp/ansible_password_leak selevel=None regexp=None validate=None src=None seuser=None delimiter=None mode=None backup=False block=Password = secret

उदाहरण के लिए, मैंने एक डिबियन "जेसी" 8 सिस्टम पर आधिकारिक Ansible Ubuntu PPA से Ansible 2.0.0.2 का उपयोग किया ।

no_log विशेषता syslog में खाल डेटा। इसे एक ही कार्य के लिए लागू किया जा सकता है

- name: secret task
  shell: /usr/bin/do_something --value={{ secret_value }}
  no_log: True

या प्लेबुक:

- hosts: all
  no_log: True

सक्रिय होने पर डिबगिंग वास्तव में संभव नहीं है, इसलिए इसे केवल एकल कार्यों के लिए उपयोग करने की अनुशंसा की जाती है। यह सुविधा Ansible के संस्करण 1.5 के बाद से उपलब्ध है । जैसा कि 1.5 रिलीज के लिए रिलीज की घोषणा में कहा गया है:

संवेदनशील कार्यों को रोकने के लिए संवेदनशील कार्यों को रोकने के लिए कार्य अब "no_log = True" विकल्प भी ले सकते हैं। (पासवर्ड की तरह दिखने वाले पैरामीटर पहले से फ़िल्टर किए गए थे)

पासवर्ड को ज्यादातर मामलों में फ़िल्टर किया जाना चाहिए।

मैंने डिफ़ॉल्ट आउटपुट के लिए पासवर्ड छिपाने के लिए एक कॉलबैक प्लगइन विकसित किया, यह कुंजी के लिए ouput शब्दकोश है जिसमें पासवर्ड होता है , उनमें से प्रत्येक के लिए, यह ******** द्वारा मूल्य को प्रतिस्थापित करता है।

protect_data.pyफ़ोल्डर में एक फ़ाइल बनाएं ।/plugins/callback इस कोड को जोड़ें:

from ansible.plugins.callback.default import CallbackModule as CallbackModule_default
import os, collections

class CallbackModule(CallbackModule_default):
    CALLBACK_VERSION = 2.0
    CALLBACK_TYPE = 'stdout'
    CALLBACK_NAME = 'protect_data'

    def __init__(self, display=None):
        super(CallbackModule, self).__init__(display)

    def hide_password(self, result):
        ret = {}
        for key, value in result.iteritems():
            if isinstance(value, collections.Mapping):
                ret[key] = self.hide_password(value)
            else:
                if "password" in key:
                    ret[key] = "********"
                else:
                    ret[key] = value
        return ret

    def _dump_results(self, result, indent=None, sort_keys=True, keep_invocation=False):
        return super(CallbackModule, self)._dump_results(self.hide_password(result), indent, sort_keys, keep_invocation)

फ़ाइल ansible.cfg में :

• stdout_callbackइस प्लगइन के साथ अनलिमिनेट लाइन और सेट एक मान ( stdout_callback=protect_data)
• callback_pluginsमान और सेट मान के साथ पंक्ति./plugins/callback

आउटपुट केवल इस प्लगइन के लिए संशोधित है, यदि आप आउटपुट ( logentries, ...) प्रदर्शित करने के लिए किसी अन्य प्लगइन का उपयोग करते हैं, तो आपको इसके साथ भी ऐसा ही करना होगा

कोई सुझाव दे सकता है कि तिजोरी का उपयोग करने से समस्या का निवारण होगा।