精通 DevOps 工具与最佳实践 - DevOps 知识中心 精通 DevOps 工具与最佳实践 - DevOps 知识中心

使用Become和Sudo修复Ansible权限提升错误

通过正确的剧本设置、清单变量、sudoers规则和诊断方法,修复Ansible的become和sudo错误。

使用Become和Sudo修复Ansible权限提升错误

Ansible权限提升错误通常出现在任务需要root访问权限,但您的连接用户无法正确使用sudo时。您可能会看到“权限被拒绝”、“缺少sudo密码”或任务在SSH下正常工作但在playbook内部失败的情况。

解决方法通常是结合Ansible的become设置和目标主机的sudoers配置。本指南将展示这两个方面。

理解Ansible的become机制

Ansible的核心是通过SSH连接到目标主机,并以远程用户的身份执行命令。然而,许多管理任务需要提升的权限(例如,Linux系统上的root访问权限)。这时就需要使用Ansible的become功能。become机制允许Ansible“成为”另一个用户,通常是root,以提升的权限执行特定任务或整个play。

为什么需要become

直接以root用户身份运行所有Ansible任务通常是一种不良的安全实践。相反,您通常以普通、非特权用户(通常称为ansible_user)连接到远程主机,然后使用become临时提升权限以执行需要这些权限的任务。这遵循了最小权限原则,最大限度地减少了安全漏洞的潜在影响。

become方法

Ansible支持多种权限提升方法,每种方法对应不同的系统工具。最常用且广泛使用的方法,尤其是在Linux/Unix系统上,是sudo(替代用户执行)。其他方法包括supbrundoas等,但本指南将主要关注sudo,因为它最为普遍。

在Ansible中配置become设置

Ansible提供了多种配置become设置的方式,从全局配置到任务特定的覆盖。理解这些范围对于有效的权限管理至关重要。

1. 在ansible.cfg中进行全局配置

对于跨多个playbook的通用用例,您可以在ansible.cfg文件中设置默认的become参数。该文件通常位于您运行Ansible的目录、~/.ansible.cfg/etc/ansible/ansible.cfg

# ansible.cfg
[privilege_escalation]
become=True
become_method=sudo
become_user=root
become_ask_pass=False ; 如果希望Ansible提示输入密码,请设置为True
  • become=True:默认对所有play启用权限提升。
  • become_method=sudo:指定sudo作为权限提升的方法。
  • become_user=root:指定要成为的目标用户为root
  • become_ask_pass=False:控制Anplex是否应提示输入become密码。如果您没有通过其他方式提供密码,请设置为True

2. 在Playbook中按Play或按任务配置

为了更精细的控制,become设置可以直接在playbook中定义,可以在play级别(影响该play中的所有任务)或单个任务级别。

Play级别配置:

---
- name: 使用提升的权限安装Nginx
  hosts: webservers
  become: yes          # 为此play中的所有任务启用become
  become_user: root
  become_method: sudo

  tasks:
    - name: 确保Nginx已安装
      ansible.builtin.apt:
        name: nginx
        state: present
      # 此任务将通过sudo以root身份运行

    - name: 复制Nginx配置
      ansible.builtin.copy:
        src: nginx.conf
        dest: /etc/nginx/nginx.conf
      # 此任务也将通过sudo以root身份运行

任务级别配置:

---
- name: 以不同用户管理文件
  hosts: all

  tasks:
    - name: 以ansible_user(默认)创建文件
      ansible.builtin.file:
        path: /tmp/unprivileged_file.txt
        state: touch
        mode: '0644'

    - name: 使用become创建root拥有的文件
      ansible.builtin.file:
        path: /root/privileged_file.txt
        state: touch
        mode: '0600'
      become: yes          # 只有此任务会使用become
      become_user: root
      become_method: sudo

3. 通过清单变量配置

become设置也可以在Ansible清单中定义,允许您为不同的主机或组指定不同的权限提升策略。

hosts.ini示例:

[webservers]
web1.example.com
web2.example.com

[dbservers]
db1.example.com

[all:vars]
ansible_user=devops_user
ansible_become=true
ansible_become_method=sudo
ansible_become_user=root

在这里,ansible_becomeansible_become_methodansible_become_user是对应于become设置的清单变量。它们可以在all:vars级别、组级别或主机级别设置。

4. 使用ansible-playbook CLI参数

对于快速覆盖或交互式执行,您可以直接通过命令行传递become参数:

  • --become-b:激活become
  • --become-method <METHOD>:指定become方法(例如,sudo)。
  • --become-user <USER>:指定目标用户(例如,root)。
  • --ask-become-pass-K:在执行期间提示输入become密码。这对于测试很有用,但通常不用于自动化。

示例:

ansible-playbook my_playbook.yml --become --become-user root --ask-become-pass

确保become用户具有sudo权限

在Ansible中正确配置become只是成功的一半。Ansible连接的用户(ansible_user必须在目标主机上具有必要的sudo权限才能成为become_user。这是在目标主机上的/etc/sudoers文件或/etc/sudoers.d/下的文件中配置的。

配置sudoers

sudoers文件定义了谁可以运行什么命令,以及以谁的身份运行。允许Ansible连接用户(本例中为devops_user)以任何用户身份运行任何命令而无需密码提示的常见条目是:

# /etc/sudoers.d/devops
devops_user ALL=(ALL) NOPASSWD: ALL

解释:

  • devops_user:Ansible连接的用户名(ansible_user)。
  • ALL:此用户可以从任何终端运行命令。
  • (ALL):此用户可以以任何用户身份运行命令。
  • NOPASSWD::指定sudo操作不需要密码。
  • ALL:此用户可以运行所有命令。

警告: 授予NOPASSWD: ALL会使ansible_user无需密码即可获得无限制的root访问权限,这可能是一个重大的安全风险。仅在确实必要时使用此设置,并确保您的ansible_user的凭据高度安全。为了更严格的安全,您可以指定用户允许运行的确切命令或命令集。

验证sudo访问权限

在运行playbook之前,您可以手动验证您的ansible_user在目标主机上是否具有sudo访问权限。以ansible_user身份SSH到主机并运行:

# 检查是否可以无需密码通过sudo切换到root
sudo -n whoami

# 如果需要密码,系统会提示您。使用简单命令测试:
sudo whoami

# 列出当前用户的sudo权限:
sudo -l

# 列出特定用户(例如,devops_user)的sudo权限:
sudo -l -U devops_user

如果sudo -n whoami返回root且没有密码提示,则您的NOPASSWD配置可能是正确的。如果它提示输入密码,则您的sudoers条目可能缺少NOPASSWD或配置不正确。

诊断权限提升错误

Ansible通常会提供信息丰富的错误消息,但权限相关的问题有时可能难以理解。以下是常见错误及其解决方案:

1. “权限被拒绝”

这通常意味着任务是以非特权连接用户的身份运行的,而不是root。

检查play或任务:

- name: 安装需要root权限的软件包
  ansible.builtin.package:
    name: nginx
    state: present
  become: true

然后确认Ansible正在使用哪个用户:

ansible webservers -m ansible.builtin.command -a 'whoami'
ansible webservers -b -m ansible.builtin.command -a 'whoami'

sudo正常工作时,第二个命令应返回root

2. “缺少sudo密码”

当目标主机需要sudo密码但Ansible未提供时,会发生此错误。

对于交互式运行,请使用:

ansible-playbook site.yml --ask-become-pass

对于自动化,避免在清单中存储明文密码。如果您的环境不允许无密码sudo,请使用Ansible Vault来存储ansible_become_password

ansible-vault encrypt group_vars/webservers/vault.yml

加密前的示例变量名称:

ansible_become_password: "replace-with-real-password"

3. “用户不在sudoers文件中”

这是一个目标主机配置问题。除非Ansible已经能够以具有足够权限的用户连接,否则无法修复。

在目标主机上,使用visudo/etc/sudoers.d/下的文件:

devops_user ALL=(ALL) NOPASSWD: /usr/bin/systemctl, /usr/bin/apt, /usr/bin/yum

这比NOPASSWD: ALL更窄,但它仅在您的playbook需要这些确切命令时才有效。软件包模块可能根据操作系统调用不同的二进制文件,因此请仔细测试。

4. 错误的become_user

大多数Linux管理任务使用become_user: root。如果您将become_user设置为应用程序账户,则该用户可能仍然缺乏修改系统文件或管理服务的权限。

使用快速检查:

- name: 确认有效用户
  ansible.builtin.command: whoami
  become: true
  changed_when: false

如果输出不是您预期的用户,请检查playbook变量、清单变量和ansible.cfg中是否有冲突的become_user值。

安全故障排除清单

从目标主机开始,逐步检查到playbook:

  1. ansible_user身份SSH到主机。
  2. 运行sudo -l并确认用户具有所需的权限。
  3. 如果您期望无密码sudo,请运行sudo -n whoami
  4. 针对一个测试主机运行ansible all -b -m command -a 'whoami'
  5. 如果错误仍然不清楚,请在失败的playbook运行中添加-vvv

关键要点

Ansible的become只是告诉Ansible提升权限。目标主机仍然必须允许连接用户通过sudo或其他become方法执行此操作。修复两个方面:在需要权限的任务中设置become,然后直接在主机上验证sudo权限。