Центр знаний DevOps
Центр знаний DevOps

Исправление ошибок повышения привилегий в Ansible с помощью Become и Sudo

Сталкиваетесь с ошибками «отказано в доступе» (permission denied) в Ansible? Эта статья подробно рассматривает механизм `become` в Ansible и его интеграцию с `sudo` для повышения привилегий. Узнайте, как правильно настроить параметры `become` в `ansible.cfg`, плейбуках и инвентаре, чтобы гарантировать, что у вашего `ansible_user` есть необходимые права `sudo` на целевых хостах. Откройте для себя практические примеры, безопасную обработку паролей с помощью Ansible Vault и эффективные советы по устранению неполадок для диагностики и решения общих проблем с повышением привилегий, чтобы ваши плейбуки Ansible выполнялись плавно и безопасно.

42 просмотров

Исправление ошибок повышения привилегий Ansible с помощью Become и Sudo

Ansible — это мощный механизм автоматизации, который упрощает управление конфигурацией, развертывание приложений и оркестрацию задач на множестве серверов. Однако одним из наиболее распространенных препятствий, с которыми сталкиваются как новые, так и опытные пользователи, является устранение ошибок повышения привилегий. Эти проблемы часто проявляются как сообщения "отказано в доступе" (permission denied), когда Ansible пытается выполнить действия, требующие повышенных прав, такие как установка пакетов, изменение системных файлов или управление службами.

Это подробное руководство проведет вас через тонкости механизма become в Ansible, его интеграцию с sudo для повышения привилегий, а также предоставит практические шаги для диагностики и устранения связанных проблем аутентификации. Понимая и правильно настраивая эти параметры, вы можете обеспечить бесперебойное и безопасное выполнение ваших плейбуков Ansible, независимо от требований к доступу целевой системы.

Понимание механизма become в Ansible

По своей сути Ansible работает путем подключения к целевым хостам, обычно через SSH, и выполнения команд от имени удаленного пользователя. Однако многие административные задачи требуют повышенных привилегий (например, доступ root в системах Linux). Здесь в игру вступает функция become в Ansible. Механизм become позволяет Ansible "стать" другим пользователем, обычно root, для выполнения конкретных задач или целых плейбуков с повышенными правами.

Почему become необходим

Запуск всех задач Ansible непосредственно от имени пользователя root обычно является плохой практикой безопасности. Вместо этого вы обычно подключаетесь к своим удаленным хостам как обычный непривилегированный пользователь (часто называемый ansible_user), а затем используете become для временного повышения привилегий для задач, которые их требуют. Это соответствует принципу наименьших привилегий, минимизируя потенциальное воздействие нарушения безопасности.

Методы become

Ansible поддерживает несколько методов повышения привилегий, каждый из которых соответствует различным системным утилитам. Наиболее распространенным и широко используемым методом, особенно в системах Linux/Unix, является sudo (Substitute User Do). Другие методы включают su, pbrun, doas и другие, но это руководство в основном сосредоточено на sudo из-за его распространенности.

Настройка параметров become в Ansible

Ansible предлагает несколько способов настройки параметров become, от глобальных конфигураций до переопределений на уровне задач. Понимание этих областей имеет решающее значение для эффективного управления привилегиями.

1. Глобальная конфигурация в ansible.cfg

Для общих случаев использования во многих плейбуках вы можете установить параметры become по умолчанию в вашем файле ansible.cfg. Обычно он находится в каталоге, где вы запускаете Ansible, ~/.ansible.cfg или /etc/ansible/ansible.cfg.

# ansible.cfg
[privilege_escalation]
become=True
become_method=sudo
become_user=root
become_ask_pass=False ; Установите True, если вы хотите, чтобы Ansible запрашивал пароль
  • become=True: Включает повышение привилегий по умолчанию для всех плейбуков.
  • become_method=sudo: Указывает sudo как метод повышения привилегий.
  • become_user=root: Указывает root как целевого пользователя, которым нужно стать.
  • become_ask_pass=False: Определяет, должен ли Ansible запрашивать пароль become. Установите True, если вы не предоставляете пароль другими способами.

2. По плейбуку или по задаче в плейбуках

Для более гранулярного контроля параметры become могут быть определены непосредственно в ваших плейбуках, либо на уровне плейбука (влияя на все задачи в этом плейбуке), либо на уровне отдельных задач.

Конфигурация на уровне плейбука:

---
- name: Установить Nginx с повышенными привилегиями
  hosts: webservers
  become: yes          # Включить become для всех задач в этом плейбуке
  become_user: root
  become_method: sudo

  tasks:
    - name: Убедиться, что Nginx установлен
      ansible.builtin.apt:
        name: nginx
        state: present
      # Эта задача будет выполняться от root через sudo

    - name: Скопировать конфигурацию Nginx
      ansible.builtin.copy:
        src: nginx.conf
        dest: /etc/nginx/nginx.conf
      # Эта задача также будет выполняться от root через sudo

Конфигурация на уровне задачи:

---
- name: Управлять файлами от имени разных пользователей
  hosts: all

  tasks:
    - name: Создать файл от имени ansible_user (по умолчанию)
      ansible.builtin.file:
        path: /tmp/unprivileged_file.txt
        state: touch
        mode: '0644'

    - name: Создать файл, принадлежащий root, с использованием become
      ansible.builtin.file:
        path: /root/privileged_file.txt
        state: touch
        mode: '0600'
      become: yes          # Только эта задача будет использовать become
      become_user: root
      become_method: sudo

3. Через переменные инвентаря

Параметры become также могут быть определены в вашем инвентаре Ansible, что позволяет вам указывать различные стратегии повышения привилегий для разных хостов или групп.

Пример hosts.ini:

[webservers]
web1.example.com
web2.example.com

[dbservers]
db1.example.com

[all:vars]
ansible_user=devops_user
ansible_become=true
ansible_become_method=sudo
ansible_become_user=root

Здесь ansible_become, ansible_become_method и ansible_become_user — это переменные инвентаря, соответствующие параметрам become. Они могут быть установлены на уровне all:vars, групповом или хостовом уровне.

4. Использование аргументов командной строки ansible-playbook

Для быстрой замены или интерактивного выполнения вы можете передавать параметры become непосредственно через командную строку:

  • --become или -b: Активирует become.
  • --become-method <METHOD>: Указывает метод become (например, sudo).
  • --become-user <USER>: Указывает целевого пользователя (например, root).
  • --ask-become-pass или -K: Запрашивает пароль become во время выполнения. Это полезно для тестирования, но обычно не для автоматизации.

Пример:

ansible-playbook my_playbook.yml --become --become-user root --ask-become-pass

Обеспечение прав sudo для пользователя become

Правильная настройка become в Ansible — это только половина дела. Пользователь, под которым подключается Ansible (ansible_user), должен иметь необходимые привилегии sudo на целевом хосте, чтобы стать become_user. Это настраивается на целевом хосте в файле /etc/sudoers или в файле в /etc/sudoers.d/.

Настройка sudoers

Файл sudoers определяет, кто может выполнять какие команды и от чьего имени. Типичная запись, позволяющая пользователю подключения Ansible (devops_user в этом примере) выполнять любую команду от имени любого пользователя без запроса пароля:

# /etc/sudoers.d/devops
devops_user ALL=(ALL) NOPASSWD: ALL

Объяснение:

  • devops_user: Имя пользователя, под которым подключается Ansible (ansible_user).
  • ALL: Этот пользователь может выполнять команды с любого терминала.
  • (ALL): Этот пользователь может выполнять команды от имени любого пользователя.
  • NOPASSWD:: Указывает, что пароль не требуется для операций sudo.
  • ALL: Этот пользователь может выполнять все команды.

Внимание: Предоставление NOPASSWD: ALL дает ansible_user неограниченный доступ root без пароля, что может быть значительным риском для безопасности. Используйте это только при крайней необходимости и убедитесь, что учетные данные вашего ansible_user очень надежны. Для более строгой безопасности вы можете указать конкретные команды или наборы команд, которые пользователь имеет право выполнять.

Проверка доступа sudo

Перед запуском плейбука вы можете вручную проверить, имеет ли ваш ansible_user доступ sudo на целевом хосте. Подключитесь по SSH к хосту как ansible_user и выполните:

# Проверить, можете ли вы sudo как root без пароля
sudo -n whoami

# Если требуется пароль, вам будет предложено ввести его. Протестируйте с простой командой:
sudo whoami

# Показать привилегии sudo для текущего пользователя:
sudo -l

# Показать привилегии sudo для конкретного пользователя (например, devops_user):
sudo -l -U devops_user

Если sudo -n whoami возвращает root без запроса пароля, ваша конфигурация NOPASSWD, вероятно, верна. Если он запрашивает пароль, ваша запись sudoers может не содержать NOPASSWD или настроена неправильно.

Диагностика ошибок повышения привилегий

Ansible обычно предоставляет информативные сообщения об ошибках, но проблемы, связанные с привилегиями, иногда могут быть неочевидны. Вот распространенные ошибки и их решения:

1. "permission denied" или