DevOpsナレッジハブ
DevOpsナレッジハブ

Ansible の特権昇格エラーを become と sudo を使用して修正する

Ansible で「permission denied」エラーに苦労していませんか?この記事では、Ansible の `become` メカニズムと特権昇格のための `sudo` との統合を解き明かします。ターゲットホストで `ansible_user` が必要な `sudo` 権限を持っていることを確認するために、`ansible.cfg`、Playbook、およびインベントリで `become` 設定を正しく構成する方法を学びます。Ansible Vault を使用した実践的な例、安全なパスワード処理、および一般的な特権昇格の問題を診断および解決するための効果的なトラブルシューティングのヒントを見つけて、Ansible Playbook がスムーズかつ安全に実行されることを保証します。

45 ビュー

Ansibleの権限昇格エラーをBecomeとSudoを使って修正する

Ansibleは、サーバー群全体の構成管理、アプリケーション展開、タスクオーケストレーションを効率化する強力な自動化エンジンです。しかし、新規ユーザーと経験豊富なユーザーが直面する最も一般的な障害の1つは、権限昇格エラーへの対処です。これらの問題は、パッケージのインストール、システムファイルの変更、サービスの管理など、昇格された権限を必要とするアクションをAnsibleが実行しようとすると、「permission denied」メッセージとして現れることがよくあります。

この包括的なガイドでは、Ansibleのbecomeメカニズムの複雑さ、それが権限昇格のためにsudoとどのように統合されるか、そして関連する認証の問題を診断し解決するための実用的な手順を説明します。これらの設定を理解し、正しく構成することで、対象システムのアクセス要件に関係なく、Ansibleプレイブックがスムーズかつ安全に実行されることを保証できます。

Ansibleのbecomeメカニズムを理解する

Ansibleは、その核となる部分で、通常SSHを介してターゲットホストに接続し、リモートユーザーとしてコマンドを実行します。しかし、多くの管理タスクは、昇格された権限(例:Linuxシステムでのrootアクセス)を必要とします。ここでAnsibleのbecome機能が活躍します。becomeメカニズムにより、Ansibleは通常rootである別のユーザーに「なる」ことができ、特定のタスクまたはプレイ全体を昇格された権限で実行できます。

becomeが必要な理由

すべてのAnsibleタスクをrootユーザーとして直接実行することは、一般的に悪いセキュリティプラクティスです。代わりに、通常は通常の非特権ユーザー(多くの場合ansible_userと呼ばれる)としてリモートホストに接続し、becomeを使用して、それらを必要とするタスクの権限を一時的に昇格させます。これは最小特権の原則に準拠し、セキュリティ侵害の潜在的な影響を最小限に抑えます。

becomeメソッド

Ansibleは、権限昇格のためにいくつかのメソッドをサポートしており、それぞれが異なるシステムユーティリティに対応しています。特にLinux/Unixシステムで最も一般的で広く使用されているメソッドはsudo(Substitute User Do)です。その他のメソッドには、supbrundoasなどがありますが、このガイドではその普及度から主にsudoに焦点を当てます。

Ansibleでbecome設定を構成する

Ansibleは、グローバル設定からタスク固有のオーバーライドまで、become設定を構成するための複数の方法を提供します。これらのスコープを理解することは、効果的な権限管理のために不可欠です。

1. ansible.cfgでのグローバル設定

多くのプレイブック全体にわたる一般的なユースケースでは、ansible.cfgファイルでデフォルトのbecomeパラメーターを設定できます。これは通常、Ansibleを実行するディレクトリ、~/.ansible.cfg、または/etc/ansible/ansible.cfgにあります。

# ansible.cfg
[privilege_escalation]
become=True
become_method=sudo
become_user=root
become_ask_pass=False ; Set to True if you want Ansible to prompt for password
  • become=True: すべてのプレイでデフォルトで権限昇格を有効にします。
  • become_method=sudo: 権限昇格の方法としてsudoを指定します。
  • become_user=root: ターゲットユーザーとしてrootを指定します。
  • become_ask_pass=False: Ansibleがbecomeパスワードの入力を求めるかどうかを制御します。他の手段でパスワードを提供しない場合はTrueに設定します。

2. プレイブックでのプレイ単位またはタスク単位の設定

よりきめ細やかな制御のために、become設定はプレイレベル(そのプレイ内のすべてのタスクに影響する)または個々のタスクレベルで、プレイブック内で直接定義できます。

プレイレベルの設定:

---
- name: Install Nginx with elevated privileges
  hosts: webservers
  become: yes          # Enable become for all tasks in this play
  become_user: root
  become_method: sudo

  tasks:
    - name: Ensure Nginx is installed
      ansible.builtin.apt:
        name: nginx
        state: present
      # This task will run as root via sudo

    - name: Copy Nginx configuration
      ansible.builtin.copy:
        src: nginx.conf
        dest: /etc/nginx/nginx.conf
      # This task will also run as root via sudo

タスクレベルの設定:

---
- name: Manage files as different users
  hosts: all

  tasks:
    - name: Create a file as the ansible_user (default)
      ansible.builtin.file:
        path: /tmp/unprivileged_file.txt
        state: touch
        mode: '0644'

    - name: Create a root-owned file using become
      ansible.builtin.file:
        path: /root/privileged_file.txt
        state: touch
        mode: '0600'
      become: yes          # Only this task will use become
      become_user: root
      become_method: sudo

3. インベントリ変数による設定

become設定はAnsibleインベントリでも定義でき、異なるホストやグループに対して異なる権限昇格戦略を指定できます。

hosts.iniの例:

[webservers]
web1.example.com
web2.example.com

[dbservers]
db1.example.com

[all:vars]
ansible_user=devops_user
ansible_become=true
ansible_become_method=sudo
ansible_become_user=root

ここで、ansible_becomeansible_become_methodansible_become_userは、become設定に対応するインベントリ変数です。これらはall:varsレベル、グループレベル、またはホストレベルで設定できます。

4. ansible-playbook CLI引数の使用

迅速なオーバーライドやインタラクティブな実行のために、コマンドラインを介してbecomeパラメーターを直接渡すことができます。

  • --becomeまたは-b: becomeをアクティブにします。
  • --become-method <METHOD>: becomeメソッド(例:sudo)を指定します。
  • --become-user <USER>: ターゲットユーザー(例:root)を指定します。
  • --ask-become-passまたは-K: 実行中にbecomeパスワードの入力を求めます。これはテストには役立ちますが、通常は自動化には向きません。

例:

ansible-playbook my_playbook.yml --become --become-user root --ask-become-pass

becomeユーザーのsudo権限を確保する

Ansibleでbecomeを正しく構成することは、戦いの半分に過ぎません。Ansibleが接続するユーザー(ansible_user)は、ターゲットホスト上でbecome_userになるために必要なsudo権限を持っている必要があります。これは、ターゲットホストの/etc/sudoersファイル内または/etc/sudoers.d/下のファイルで構成されます。

sudoersの構成

sudoersファイルは、誰が、どのコマンドを、誰として実行できるかを定義します。Ansible接続ユーザー(この例ではdevops_user)がパスワードプロンプトなしで任意のユーザーとして任意のコマンドを実行できるようにする一般的なエントリは次のとおりです。

# /etc/sudoers.d/devops
devops_user ALL=(ALL) NOPASSWD: ALL

説明:

  • devops_user: Ansibleが接続するユーザー名(ansible_user)。
  • ALL: このユーザーは任意のターミナルからコマンドを実行できます。
  • (ALL): このユーザーは任意のユーザーとしてコマンドを実行できます。
  • NOPASSWD:: sudo操作にパスワードが不要であることを指定します。
  • ALL: このユーザーはすべてのコマンドを実行できます。

警告: NOPASSWD: ALLを付与すると、ansible_userにパスワードなしで無制限のrootアクセスが与えられ、重大なセキュリティリスクになる可能性があります。本当に必要な場合にのみこれを使用し、ansible_userの資格情報が高度に安全であることを確認してください。より厳格なセキュリティのためには、ユーザーが実行を許可されている正確なコマンドまたはコマンドセットを指定できます。

sudoアクセスの検証

プレイブックを実行する前に、ansible_userがターゲットホストでsudoアクセスを持っているかどうかを手動で確認できます。ansible_userとしてホストにSSH接続し、以下を実行します。

# Check if you can sudo to root without password
sudo -n whoami

# If a password is required, you will be prompted. Test with a simple command:
sudo whoami

# List sudo privileges for the current user:
sudo -l

# List sudo privileges for a specific user (e.g., devops_user):
sudo -l -U devops_user

sudo -n whoamiがパスワードプロンプトなしでrootを返す場合、NOPASSWD設定は正しい可能性が高いです。パスワードの入力を求める場合、sudoersエントリにNOPASSWDが欠落しているか、誤って構成されている可能性があります。

権限昇格エラーの診断

Ansibleは通常、有益なエラーメッセージを提供しますが、権限関連の問題は時として分かりにくいことがあります。ここに一般的なエラーとその解決策を示します。

1. 「permission denied」または