ฉันจะลดความละเอียดของงาน Ansible บางอย่างเพื่อไม่ให้รหัสผ่านรั่วไหลลงใน syslog ได้อย่างไร?

บางครั้งฉันต้องการใช้ Ansible lineinfileหรือblockinfileโมดูลเพื่อเขียนรหัสผ่านลงในไฟล์การกำหนดค่าบางอย่าง syslogถ้าผมทำเช่นนั้นทั้งบรรทัดหรือบล็อกรหัสผ่านรวมสิ้นสุดลงในของฉัน

เนื่องจากฉันไม่คิดว่าsyslogจะเป็นสถานที่ที่ปลอดภัยในการจัดเก็บรหัสผ่านไว้ฉันจะบอกได้อย่างไรว่า Ansible จะไม่รั่วรหัสผ่านของฉันsyslog? ฉันหวังว่าจะมีวิธีการทำเช่นนี้มิฉะนั้นฉันจะถือว่านี่เป็นปัญหาด้านความปลอดภัยขนาดใหญ่ใน Ansible

คุณสามารถทำซ้ำตัวอย่างเช่นด้วยคำสั่ง ad-hoc นี้:

ansible localhost -m blockinfile -a 'dest=/tmp/ansible_password_leak create=yes block="Password = {{password}}"' -e 'password=secret'

นี่คือสิ่งที่เกิดขึ้นในsyslog:

ansible-blockinfile: Invoked with directory_mode=None force=None remote_src=None insertafter=None owner=None follow=False marker=# {mark} ANSIBLE MANAGED BLOCK group=None insertbefore=None create=True setype=None content=None serole=None state=present dest=/tmp/ansible_password_leak selevel=None regexp=None validate=None src=None seuser=None delimiter=None mode=None backup=False block=Password = secret

สำหรับตัวอย่างที่ฉันใช้ Ansible 2.0.0.2 จากAnsible Ubuntu PPA อย่างเป็นทางการในระบบ Debian "Jessie" 8

no_log แอตทริบิวต์ข้อมูลที่ซ่อนอยู่ใน syslog มันสามารถนำไปใช้กับงานเดียว

- name: secret task
  shell: /usr/bin/do_something --value={{ secret_value }}
  no_log: True

หรือ playbook:

- hosts: all
  no_log: True

การดีบักไม่สามารถทำได้เมื่อเปิดใช้งานดังนั้นจึงขอแนะนำให้ใช้สำหรับงานเดียวเท่านั้น คุณลักษณะนี้สามารถใช้ได้ตั้งแต่รุ่น 1.5 ของเบิ้ล ตามที่ระบุไว้ในประกาศประชาสัมพันธ์สำหรับรุ่น 1.5:

ตอนนี้งานยังสามารถใช้ตัวเลือก "no_log = True" เพื่อป้องกันงานที่มีความละเอียดอ่อนจากการกดปุ่ม syslog (พารามิเตอร์ที่ดูเหมือนรหัสผ่านถูกกรองแล้ว)

รหัสผ่านควรถูกกรองในกรณีส่วนใหญ่

ฉันพัฒนาปลั๊กอินโทรกลับเพื่อซ่อนรหัสผ่านสำหรับเอาท์พุทเริ่มต้นมันแยกวิเคราะห์พจนานุกรมสำหรับคีย์ที่มีรหัสผ่านสำหรับแต่ละรายการมันจะแทนที่ค่าด้วย ********

สร้างไฟล์ชื่อprotect_data.pyในโฟลเดอร์. / plugins/callbackเพิ่มเพิ่มรหัสนี้:

from ansible.plugins.callback.default import CallbackModule as CallbackModule_default
import os, collections

class CallbackModule(CallbackModule_default):
    CALLBACK_VERSION = 2.0
    CALLBACK_TYPE = 'stdout'
    CALLBACK_NAME = 'protect_data'

    def __init__(self, display=None):
        super(CallbackModule, self).__init__(display)

    def hide_password(self, result):
        ret = {}
        for key, value in result.iteritems():
            if isinstance(value, collections.Mapping):
                ret[key] = self.hide_password(value)
            else:
                if "password" in key:
                    ret[key] = "********"
                else:
                    ret[key] = value
        return ret

    def _dump_results(self, result, indent=None, sort_keys=True, keep_invocation=False):
        return super(CallbackModule, self)._dump_results(self.hide_password(result), indent, sort_keys, keep_invocation)

ในไฟล์ansible.cfg :

• uncomment บรรทัดด้วยstdout_callbackและตั้งชื่อปลั๊กอินนี้ค่า ( stdout_callback=protect_data)
• บรรทัด uncomment ด้วยcallback_pluginsและตั้งค่า./plugins/callback

เอาต์พุตถูกแก้ไขสำหรับปลั๊กอินนี้เท่านั้นหากคุณใช้ปลั๊กอินอื่นเพื่อแสดงเอาต์พุต ( logentries, ... ) คุณต้องทำเช่นเดียวกันกับปลั๊กอินนี้

บางคนอาจแนะนำว่าการใช้ Vault แทนจะเป็นการขจัดปัญหา