Jak mogę zmniejszyć poziom szczegółowości niektórych zadań Ansible, aby nie wprowadzać haseł do syslog?

Czasami chciałbym użyć Ansible's lineinfilelub blockinfilemodułów do napisania hasła do jakiegoś pliku konfiguracyjnego. Jeśli to zrobię, cała linia lub blok, łącznie z hasłem, trafi do mojego syslog.

Ponieważ nie uważam syslogza bezpieczne miejsce do przechowywania haseł, w jaki sposób mogę powiedzieć Ansible, aby nie ujawniał mojego hasła syslog? Mam nadzieję, że jest na to sposób, w przeciwnym razie uważałbym to za duży problem bezpieczeństwa w Ansible.

Możesz go odtworzyć na przykład za pomocą tego polecenia ad-hoc:

ansible localhost -m blockinfile -a 'dest=/tmp/ansible_password_leak create=yes block="Password = {{password}}"' -e 'password=secret'

Oto, co kończy się w syslog:

ansible-blockinfile: Invoked with directory_mode=None force=None remote_src=None insertafter=None owner=None follow=False marker=# {mark} ANSIBLE MANAGED BLOCK group=None insertbefore=None create=True setype=None content=None serole=None state=present dest=/tmp/ansible_password_leak selevel=None regexp=None validate=None src=None seuser=None delimiter=None mode=None backup=False block=Password = secret

Na przykład użyłem Ansible 2.0.0.2 z oficjalnego Ansible Ubuntu PPA w systemie Debian „Jessie” 8.

Do no_log atrybutów danych ukrywa się w syslog. Można go zastosować do pojedynczego zadania

- name: secret task
  shell: /usr/bin/do_something --value={{ secret_value }}
  no_log: True

lub podręcznik:

- hosts: all
  no_log: True

Debugowanie nie jest tak naprawdę możliwe po aktywacji, dlatego zaleca się używanie go tylko do pojedynczych zadań. Ta funkcja jest dostępna od wersji 1.5 Ansible . Jak podano w ogłoszeniu o wydaniu wersji 1.5:

Zadania mogą teraz również przyjmować opcję „no_log = True”, aby zapobiec trafianiu syslog do poufnych zadań. (Parametry wyglądające jak hasła zostały już odfiltrowane)

hasła powinny być filtrowane w większości przypadków.

Opracowałem wtyczkę zwrotną do ukrywania haseł do domyślnych danych wyjściowych, parsuje ona wyjściowy słownik dla klucza zawierającego hasło , dla każdego z nich zamienia wartość na ********.

Utwórz plik o nazwie protect_data.pyw folderze ./plugins/callback dodaj dodaj ten kod:

from ansible.plugins.callback.default import CallbackModule as CallbackModule_default
import os, collections

class CallbackModule(CallbackModule_default):
    CALLBACK_VERSION = 2.0
    CALLBACK_TYPE = 'stdout'
    CALLBACK_NAME = 'protect_data'

    def __init__(self, display=None):
        super(CallbackModule, self).__init__(display)

    def hide_password(self, result):
        ret = {}
        for key, value in result.iteritems():
            if isinstance(value, collections.Mapping):
                ret[key] = self.hide_password(value)
            else:
                if "password" in key:
                    ret[key] = "********"
                else:
                    ret[key] = value
        return ret

    def _dump_results(self, result, indent=None, sort_keys=True, keep_invocation=False):
        return super(CallbackModule, self)._dump_results(self.hide_password(result), indent, sort_keys, keep_invocation)

W pliku ansible.cfg :

• odkomentuj linię stdout_callbacki ustaw tę nazwę wtyczki na wartość ( stdout_callback=protect_data)
• odkomentuj callback_pluginsi ustaw wartość./plugins/callback

Dane wyjściowe są modyfikowane tylko dla tej wtyczki, jeśli używasz innej wtyczki do wyświetlania danych wyjściowych ( logentries, ...), musisz zrobić to samo z nią

Ktoś mógłby zasugerować, że zamiast tego korzystanie z Vault rozwiązałoby problem.