Açıkça izin verilmeyen SSH anahtarlarını kaldırmak için Kukla kullanma

SSH anahtarlarını dağıtmak için kukla kullanıyorum, şöyle:

ssh_authorized_key { "alice@foo.com":
   ensure => present,
   key => 'xxxx',
   type => 'ssh-rsa',
   user => 'deploy',
}

~ / .Ssh / yetkili_anahtarlar dosyası, istenen sonuç olan birden fazla sınıftan bir anahtar karışımı içerir. Ancak, $ HOME / .ssh / yetkili_anahtarlarına manuel olarak bir anahtar eklenirse, Kukla bunu yerinde bırakacaktır. Manifest'te açıkça tanımlanmamış herhangi bir anahtarı her zaman kaldırmanın bir yolu var mı?

Kukla sürüm 2.7.1 var.

Kukla 3.6'dan başlayarak, artık yönetilmeyen SSH onaylı anahtarları tür yoluyla temizlemek mümkündür user. Örneğin,

user { 'nick':
  ensure         => present,
  purge_ssh_keys => true,
}

ssh_authorized_keyKaynakları kullanmak yerine, authorized_keystek bir kullanıcı için tüm SSH anahtarlarının listesini alan bir kaynak tanımlamaya karar verdim . Tanım şuna benzer:

define authorized_keys ($sshkeys, $ensure = "present", $home = '') {
    # This line allows default homedir based on $title variable.
    # If $home is empty, the default is used.
    $homedir = $home ? {'' => "/home/${title}", default => $home}
    file {
        "${homedir}/.ssh":
            ensure  => "directory",
            owner   => $title,
            group   => $title,
            mode    => 700,
            require => User[$title];
        "${homedir}/.ssh/authorized_keys":
            ensure  => $ensure,
            owner   => $ensure ? {'present' => $title, default => undef },
            group   => $ensure ? {'present' => $title, default => undef },
            mode    => 600,
            require => File["${homedir}/.ssh"],
            content => template("authorized_keys.erb");
    }
}

$ssh_keysparametresi, gerekli tüm anahtarları bir liste olarak alır. authorized_keys.erbŞablon şöyle görünür:

# NOTICE: This file is autogenerated by Puppet and should not be modified
<% sshkeys.each do |key| -%>
<%= key %>
<% end -%>

kullanım

user {'mikko':
    ...
}
authorized_keys {'mikko':
    sshkeys => [
        'ssh-rsa XXXXXXYYYYYYYYYZZZZZZZZZ mikko@domain.tld',
        'ssh-rsa XXXXXXZZZZZZZZZHHHHHHHHH mikko@other-host.tld',
    ],
}

Puppet +>operatörü sayesinde SSH anahtarlarını koşullu olarak eklemek (örneğin farklı sınıflarda) da kolaydır :

Authorized_keys <| title == 'mikko' |> {
    sshkeys +> 'ssh-rsa ASDFASDFASDFASDF mikko@somewhere-else.tld'
}

Bu yöntemle, kullanıcı asla Kukla yapılandırmasında açıkça belirtilmeyen anahtarlara sahip olmaz. Anahtar dizesi, yetkili_anahtarlarda olduğu gibi kullanılır, bu nedenle seçenekler ve kısıtlamalar eklemek çok önemlidir.

Başkaları bu yöntemi başarılı bir şekilde kullandıklarını duymaktan mutluluk duyarım!

Bunu, kaynak metatipini kullanarak yapabilmeniz gerekir . ÖRNEĞİN

resources { 'ssh_authorized_key': noop => true, purge => true, }

Ayar noop => true,, çıkarma işleminin gerçekleşmesini önler. Bunun yerine, kukla neyin kaldırılacağını bildirir. İstediğiniz buysa, noop ifadesini kaldırın .

Yönetilmeyen kaynaklarda işlem gerçekleştirmek için ideal sözdizimi tartışılmaktadır .

EDIT: Yorumlarda belirtildiği gibi, bu cevap işe yaramıyor.

Kukla Dövüşünde, Apache Lisansı Sürüm 2.0 altında bu yeteneği sunan bir modül yayınlanmıştır.

Yine de şablonlar yerine Kukla concat'a dayanır.

https://github.com/nightfly19/puppet-ssh_keys/tree/master/manifests

Bir anahtar dizisini parametre olarak iletmek yerine, her anahtar için ayrı girişler tanımlarsınız.

Mikko'lardan farklı bir yaklaşım, ama aynı net sonuç.