Ansible üzerinden ana bilgisayar SSH anahtarları nasıl oluşturulur?

Ansible (ve ssh-keygen) üzerinden uzak sunucularda bir avuç ssh ana bilgisayar anahtarları yeniden oluşturmak çalışıyorum , ancak dosyaları görünmüyor. Başucu kitabı Tamam çalışıyor, ancak uzaktan kumandadaki dosyalar değiştirilmiyor.

echo -eBu uzaktan kumandalar Ubuntu 14.04 çalıştırıyor ve python-pexpectmevcut ( doğru göre) doğru sürümü yok çünkü hackery başvurmak gerekir .

Neyi kaçırıyorum? Başucu kitabım ve çıktım aşağıda:

senaryo

---
- hosts: all
  become: true
  gather_facts: false

  tasks:
    - name: Generate /etc/ssh/ RSA host key
      command : echo -e 'y\n'|ssh-keygen -q -t rsa -f /etc/ssh/ssh_host_rsa_key -C "" -N ""
      register: output
    - debug: var=output.stdout_lines

    - name: Generate /etc/ssh/ DSA host key
      command : echo -e 'y\n'|ssh-keygen -q -t dsa -f /etc/ssh/ssh_host_dsa_key -C "" -N ""
      register: output
    - debug: var=output.stdout_lines

    - name: Generate /etc/ssh/ ECDSA host key
      command : echo -e 'y\n'|ssh-keygen -q -t ecdsa -f /etc/ssh/ssh_host_ecdsa_key -C "" -N ""
      register: output
    - debug: var=output.stdout_lines

çıktı

$ ansible-playbook ./playbooks/ssh-hostkeys.yml -l myhost.mydom.com, 
SUDO password: 

PLAY [all] **********************************************************************************************

TASK [Generate /etc/ssh/ RSA host key] ******************************************************************
changed: [myhost.mydom.com]

TASK [debug] ********************************************************************************************
ok: [myhost.mydom.com] => {
    "output.stdout_lines": [
        "y", 
        "|ssh-keygen -q -t rsa -f /etc/ssh/ssh_host_rsa_key -C  -N "
    ]
}

TASK [Generate /etc/ssh/ DSA host key] ******************************************************************
changed: [myhost.mydom.com]

TASK [debug] ********************************************************************************************
ok: [myhost.mydom.com] => {
    "output.stdout_lines": [
        "y", 
        "|ssh-keygen -q -t dsa -f /etc/ssh/ssh_host_dsa_key -C  -N "
    ]
}

TASK [Generate /etc/ssh/ ECDSA host key] ****************************************************************
changed: [myhost.mydom.com]

TASK [debug] ********************************************************************************************
ok: [myhost.mydom.com] => {
    "output.stdout_lines": [
        "y", 
        "|ssh-keygen -q -t ecdsa -f /etc/ssh/ssh_host_ecdsa_key -C  -N "
    ]
}

PLAY RECAP **********************************************************************************************
myhost.mydom.com : ok=6    changed=3    unreachable=0    failed=0  

Bildiğim kadarıyla ssh-keygen'e bir 'y' bağlamanızın tek sebebi, komutunuzun mevcut bir dosyayı değiştirmesidir. Bence bu bir konfigürasyon yönetim aracından bir şey yapmanın iyi bir yolu değil.

Görevlerinizi onları cesaretsiz kılmak için ayarlamalısınız. Özellikle creates: filename, komutunuza eklerseniz, yeni anahtarlar yalnızca bu oynatma kitabını her çalıştırdığınızda değiştirmek yerine, henüz mevcut olmadıklarında oluşturulur.

---
- hosts: all
  become: true
  gather_facts: false

  tasks:
  - name: Generate /etc/ssh/ RSA host key
    command : ssh-keygen -q -t rsa -f /etc/ssh/ssh_host_rsa_key -C "" -N ""
    args:
      creates: /etc/ssh/ssh_host_rsa_key

  - name: Generate /etc/ssh/ DSA host key
    command : ssh-keygen -q -t dsa -f /etc/ssh/ssh_host_dsa_key -C "" -N ""
    args:
      creates: /etc/ssh/ssh_host_dsa_key

  - name: Generate /etc/ssh/ ECDSA host key
    command : ssh-keygen -q -t ecdsa -f /etc/ssh/ssh_host_ecdsa_key -C "" -N ""
    args:
      creates: /etc/ssh/ssh_host_ecdsa_key

Herhangi bir nedenle bu anahtarları değiştirmek isterseniz, örneğin çok eskiyse veya başka bir şey varsa, bunları kaldırmak için başka bir görev eklemek isteyebilirsiniz. İşte basit bir silme

- file:
    state: absent:
    path: "{{item}}"
  loop:
  - /etc/ssh/ssh_host_rsa_key
  - /etc/ssh/ssh_host_dsa_key
  - /etc/ssh/ssh_host_ecdsa_key

Belirli bir süre önce oluşturulan dosyaları silmek istiyorsanız, bu dosyalar hakkındaki ayrıntıları almak için stat modülünü ve whenbelirli bir tarihten veya daha eski bir tarihten daha eski olmaları durumunda bunları seçici olarak kaldırmak için kurulum koşullarını kullanabilirsiniz.

Ansible commandmodülü komutları kabuktan geçirmez . Bu, boru gibi kabuk işleçlerini kullanamayacağınız anlamına gelir ve bu nedenle çıktıda boru simgesini görüyorsunuz. Ansible söz konusu olduğunda, komutu echo, satırın geri kalanıyla birlikte argümanlar olarak yürüttü echo.

Kabuk tarafından işlenen komut satırına ihtiyacınız varsa, yerine kullanınshellcommand .

Ve, ssh host anahtarlarını yenilemek için daha iyi bir yol olmalı, ama şu anda bir tane bulamıyorum ...

Bu görev için özel modülü kullanın:

- name: Generate an OpenSSH keypair with the default values (4096 bits, rsa)
  openssh_keypair:
    path: /home/youruser/.ssh/id_rsa
    owner: youruser
    group: youruser

- name: Fix owner of the generated pub key
  file:
    path: /home/youruser/.ssh/id_rsa.pub
    owner: youruser
    group: youruser

üzgünüm, ama ben bir görevde "oluşturur" kullanamadı. Aşağıdaki hatayı aldım:

ERROR! 'creates' is not a valid attribute for a Task

sonuç olarak, ben aşağıdaki görevleri kullanın:

- name: remove existing ssh_host keys
  file: path={{ item }} state=absent
  with_items:
    - "/etc/ssh/ssh_host_rsa_key"
    - "/etc/ssh/ssh_host_dsa_key"
    - "/etc/ssh/ssh_host_ecdsa_key"

- name: Generate /etc/ssh/ RSA host key
  command : ssh-keygen -q -t rsa -f /etc/ssh/ssh_host_rsa_key -C "" -N ""

- name: Generate /etc/ssh/ DSA host key
  command : ssh-keygen -q -t dsa -f /etc/ssh/ssh_host_dsa_key -C "" -N ""

- name: Generate /etc/ssh/ ECDSA host key
  command : ssh-keygen -q -t ecdsa -f /etc/ssh/ssh_host_ecdsa_key -C "" -N ""

@Zoredache doğru cevaba sahiptir, ancak Ansible'ın son sürümleri için başarısız olur (@MaxiReglisse tarafından not edilir). Bunun yerine aşağıdaki kodu kullanın:

---
- hosts: all
  become: true
  gather_facts: false

  tasks:
  - name: Generate /etc/ssh/ RSA host key
    command : ssh-keygen -q -t rsa -f /etc/ssh/ssh_host_rsa_key -C "" -N ""
    args:
      creates: /etc/ssh/ssh_host_rsa_key

Başka bir seçenek de kullanıcı modülünü kullanmaktır . Bunun olumlu yanı, idempotent bir görev almanızdır. Localhost üzerinde ssh anahtarlarının nasıl oluşturulacağına dair bir örnek:

- name: Generate ssh keys
  local_action:
    module: "user"
    name: "{{ lookup('env','USER') }}"
    generate_ssh_key: true
    ssh_key_type: "{{ item.0 }}"
    ssh_key_bits: "{{ item.1 }}"
    ssh_key_file: "{{ playbook_dir }}/{{ item.0 }}_{{ item.1 }}_key"
  with_together:
  - [ 'rsa', 'dsa' ]
  - [ 2048, 1024 ]
  loop_control:
    label: "{{ item.0 }}_{{ item.1 }}_key"

- name: Copy generated ssh keys to remote machine
  copy:
    src: "{{ playbook_dir }}/{{ item.0 }}_{{ item.1 }}_key"
    dest: "/etc/ssh/ssh_host_{{ item.0 }}_key{{ item.1 }}"
  with_nested:
  - [ 'rsa', 'dsa' ]
  - [ '', '.pub' ]
  notify:
  - Restart sshd
  loop_control:
    label: "/etc/ssh/ssh_host_{{ item.0 }}_key{{ item.1 }}"

Anahtarları sorumlu ana makinenize kaydetmeden aynı anda oluşturmak ve dağıtmak için openssh_keypair ve yetkili_key modülünü kullanın.

- openssh_keypair:
    group: root
    owner: root
    path: /some/path/in/your/server
    register: ssh_key

- name: Store public key into origin
  delegate_to: central_server_name
  authorized_key:
     key: "{{ssh_key.public_key}}"
     comment: "{{ansible_hostname}}"
     user: any_user_on_central