จะสร้างคีย์ SSH โฮสต์ผ่าน ansible ได้อย่างไร

ฉันกำลังพยายามสร้างคีย์โฮสต์ ssh อีกครั้งบนเซิร์ฟเวอร์ระยะไกลจำนวนหนึ่งผ่านทาง ansible (และssh-keygen) แต่ไฟล์ดูเหมือนจะไม่ปรากฏขึ้น Playbook นั้นใช้งานได้ดี แต่ไฟล์ในรีโมตจะไม่เปลี่ยนแปลง

ฉันต้องหันไปใช้echo -eแฮ็คเกอร์เนื่องจากรีโมตเหล่านี้ใช้งาน Ubuntu 14.04 และยังไม่มีเวอร์ชั่นที่ถูกต้องของรุ่นที่python-pexpectใช้งานได้ (อ้างอิงจาก ansible)

ฉันกำลังคิดถึงอะไร Playbook และผลลัพธ์ของฉันอยู่ด้านล่าง:

PlayBook

---
- hosts: all
  become: true
  gather_facts: false

  tasks:
    - name: Generate /etc/ssh/ RSA host key
      command : echo -e 'y\n'|ssh-keygen -q -t rsa -f /etc/ssh/ssh_host_rsa_key -C "" -N ""
      register: output
    - debug: var=output.stdout_lines

    - name: Generate /etc/ssh/ DSA host key
      command : echo -e 'y\n'|ssh-keygen -q -t dsa -f /etc/ssh/ssh_host_dsa_key -C "" -N ""
      register: output
    - debug: var=output.stdout_lines

    - name: Generate /etc/ssh/ ECDSA host key
      command : echo -e 'y\n'|ssh-keygen -q -t ecdsa -f /etc/ssh/ssh_host_ecdsa_key -C "" -N ""
      register: output
    - debug: var=output.stdout_lines

เอาท์พุต

$ ansible-playbook ./playbooks/ssh-hostkeys.yml -l myhost.mydom.com, 
SUDO password: 

PLAY [all] **********************************************************************************************

TASK [Generate /etc/ssh/ RSA host key] ******************************************************************
changed: [myhost.mydom.com]

TASK [debug] ********************************************************************************************
ok: [myhost.mydom.com] => {
    "output.stdout_lines": [
        "y", 
        "|ssh-keygen -q -t rsa -f /etc/ssh/ssh_host_rsa_key -C  -N "
    ]
}

TASK [Generate /etc/ssh/ DSA host key] ******************************************************************
changed: [myhost.mydom.com]

TASK [debug] ********************************************************************************************
ok: [myhost.mydom.com] => {
    "output.stdout_lines": [
        "y", 
        "|ssh-keygen -q -t dsa -f /etc/ssh/ssh_host_dsa_key -C  -N "
    ]
}

TASK [Generate /etc/ssh/ ECDSA host key] ****************************************************************
changed: [myhost.mydom.com]

TASK [debug] ********************************************************************************************
ok: [myhost.mydom.com] => {
    "output.stdout_lines": [
        "y", 
        "|ssh-keygen -q -t ecdsa -f /etc/ssh/ssh_host_ecdsa_key -C  -N "
    ]
}

PLAY RECAP **********************************************************************************************
myhost.mydom.com : ok=6    changed=3    unreachable=0    failed=0  

เท่าที่ฉันรู้เหตุผลเดียวว่าทำไมคุณจะต้องไปป์ 'y' กับ ssh-keygen คือถ้าคำสั่งของคุณเปลี่ยนไฟล์ที่มีอยู่ ในความคิดของฉันนี่ไม่ใช่วิธีที่ดีในการทำบางสิ่งจากเครื่องมือการจัดการการกำหนดค่า

คุณควรปรับภารกิจของคุณเพื่อให้ idempotent โดยเฉพาะถ้าคุณเพิ่มcreates: filenameคำสั่งของคุณแล้วปุ่มใหม่จะถูกสร้างขึ้นเมื่อพวกเขายังไม่มีอยู่แทนที่จะถูกแทนที่ในแต่ละครั้งที่คุณเรียกใช้ playbook นั้น

---
- hosts: all
  become: true
  gather_facts: false

  tasks:
  - name: Generate /etc/ssh/ RSA host key
    command : ssh-keygen -q -t rsa -f /etc/ssh/ssh_host_rsa_key -C "" -N ""
    args:
      creates: /etc/ssh/ssh_host_rsa_key

  - name: Generate /etc/ssh/ DSA host key
    command : ssh-keygen -q -t dsa -f /etc/ssh/ssh_host_dsa_key -C "" -N ""
    args:
      creates: /etc/ssh/ssh_host_dsa_key

  - name: Generate /etc/ssh/ ECDSA host key
    command : ssh-keygen -q -t ecdsa -f /etc/ssh/ssh_host_ecdsa_key -C "" -N ""
    args:
      creates: /etc/ssh/ssh_host_ecdsa_key

หากด้วยเหตุผลบางอย่างที่คุณต้องการแทนที่คีย์เหล่านั้นเช่นหากเก่าเกินไปหรือบางสิ่งบางอย่างคุณอาจต้องการเพิ่มงานอื่นเพื่อลบออก นี่คือการลบแบบง่าย

- file:
    state: absent:
    path: "{{item}}"
  loop:
  - /etc/ssh/ssh_host_rsa_key
  - /etc/ssh/ssh_host_dsa_key
  - /etc/ssh/ssh_host_ecdsa_key

หากคุณต้องการลบไฟล์ที่สร้างขึ้นก่อนเวลาที่กำหนดคุณสามารถใช้โมดูล stat เพื่อดึงรายละเอียดเกี่ยวกับไฟล์นี้และwhenเงื่อนไขการตั้งค่าเพื่อเลือกลบไฟล์หากไฟล์เก่ากว่าบางวันหรือบางวัน

เบิ้ลcommandโมดูล ไม่ผ่านคำสั่งผ่านเปลือก ซึ่งหมายความว่าคุณไม่สามารถใช้ตัวดำเนินการเชลล์เช่นไพพ์ได้และนั่นคือสาเหตุที่คุณเห็นสัญลักษณ์ไพพ์ในเอาต์พุต เท่าที่เบิ้ลเป็นห่วงก็มีการดำเนินการคำสั่งที่มีทั้งหมดของส่วนที่เหลือของสายเป็นข้อโต้แย้งกับechoecho

หากคุณต้องการบรรทัดคำสั่งประมวลผลโดยเชลล์ใช้shellcommandแทน

และควรมีวิธีที่ดีกว่าในการสร้างคีย์โฮสต์ ssh ใหม่ แต่ตอนนี้ฉันหาไม่พบ ...

ใช้โมดูลพิเศษสำหรับงานนี้:

- name: Generate an OpenSSH keypair with the default values (4096 bits, rsa)
  openssh_keypair:
    path: /home/youruser/.ssh/id_rsa
    owner: youruser
    group: youruser

- name: Fix owner of the generated pub key
  file:
    path: /home/youruser/.ssh/id_rsa.pub
    owner: youruser
    group: youruser

ขออภัยฉันไม่สามารถใช้ "สร้าง" ในงาน ฉันได้รับข้อผิดพลาดต่อไปนี้:

ERROR! 'creates' is not a valid attribute for a Task

ฉันใช้งานต่อไปนี้อย่างแน่นอน:

- name: remove existing ssh_host keys
  file: path={{ item }} state=absent
  with_items:
    - "/etc/ssh/ssh_host_rsa_key"
    - "/etc/ssh/ssh_host_dsa_key"
    - "/etc/ssh/ssh_host_ecdsa_key"

- name: Generate /etc/ssh/ RSA host key
  command : ssh-keygen -q -t rsa -f /etc/ssh/ssh_host_rsa_key -C "" -N ""

- name: Generate /etc/ssh/ DSA host key
  command : ssh-keygen -q -t dsa -f /etc/ssh/ssh_host_dsa_key -C "" -N ""

- name: Generate /etc/ssh/ ECDSA host key
  command : ssh-keygen -q -t ecdsa -f /etc/ssh/ssh_host_ecdsa_key -C "" -N ""

@Zoredache มีคำตอบที่ถูกต้อง แต่ล้มเหลว (บันทึกโดย @MaxiReglisse) สำหรับ Ansible รุ่นล่าสุด ใช้รหัสต่อไปนี้แทน:

---
- hosts: all
  become: true
  gather_facts: false

  tasks:
  - name: Generate /etc/ssh/ RSA host key
    command : ssh-keygen -q -t rsa -f /etc/ssh/ssh_host_rsa_key -C "" -N ""
    args:
      creates: /etc/ssh/ssh_host_rsa_key

ตัวเลือกอื่นคือการใช้โมดูลผู้ใช้ ด้านบวกของสิ่งนี้คือคุณจะได้งาน idempotent นี่คือตัวอย่างวิธีการสร้างคีย์ ssh บน localhost:

- name: Generate ssh keys
  local_action:
    module: "user"
    name: "{{ lookup('env','USER') }}"
    generate_ssh_key: true
    ssh_key_type: "{{ item.0 }}"
    ssh_key_bits: "{{ item.1 }}"
    ssh_key_file: "{{ playbook_dir }}/{{ item.0 }}_{{ item.1 }}_key"
  with_together:
  - [ 'rsa', 'dsa' ]
  - [ 2048, 1024 ]
  loop_control:
    label: "{{ item.0 }}_{{ item.1 }}_key"

- name: Copy generated ssh keys to remote machine
  copy:
    src: "{{ playbook_dir }}/{{ item.0 }}_{{ item.1 }}_key"
    dest: "/etc/ssh/ssh_host_{{ item.0 }}_key{{ item.1 }}"
  with_nested:
  - [ 'rsa', 'dsa' ]
  - [ '', '.pub' ]
  notify:
  - Restart sshd
  loop_control:
    label: "/etc/ssh/ssh_host_{{ item.0 }}_key{{ item.1 }}"

ใช้โมดูล openssh_keypair และ authorized_key เพื่อสร้างและปรับใช้คีย์ในเวลาเดียวกันโดยไม่บันทึกลงในโฮสต์ที่ไม่สามารถใช้ได้ของคุณ

- openssh_keypair:
    group: root
    owner: root
    path: /some/path/in/your/server
    register: ssh_key

- name: Store public key into origin
  delegate_to: central_server_name
  authorized_key:
     key: "{{ssh_key.public_key}}"
     comment: "{{ansible_hostname}}"
     user: any_user_on_central