Ansible:有sudo但没有根
我想使用Ansible来管理Hadoop集群(运行Red Hat)的配置 我有sudo访问权限,可以手动Ansible:有sudo但没有根,ansible,redhat,ansible-playbook,Ansible,Redhat,Ansible Playbook,我想使用Ansible来管理Hadoop集群(运行Red Hat)的配置 我有sudo访问权限,可以手动ssh进入节点执行命令。然而,当我试图运行Ansible模块来执行相同的任务时,我遇到了问题。虽然我有sudo访问权限,但我不能成为root用户。当我尝试执行需要提升权限的Ansible脚本时,会出现如下错误: 抱歉,不允许用户awoolford执行'/bin/bash-c echo' been-SUCCESS-[…]/usr/bin/python /tmp/ansible-tmp-14466
ssh
进入节点执行命令。然而,当我试图运行Ansible模块来执行相同的任务时,我遇到了问题。虽然我有sudo
访问权限,但我不能成为root用户。当我尝试执行需要提升权限的Ansible脚本时,会出现如下错误:
抱歉,不允许用户awoolford执行'/bin/bash-c echo'
been-SUCCESS-[…]/usr/bin/python
/tmp/ansible-tmp-1446662360.01-23143552506280/副本“作为awoolford on
[some_hadoop_node]
通过查看,我认为been\u allow\u same\u user
属性可能会解决这个问题,因此我在ansible.cfg
中添加了以下内容:
[privilege_escalation]
become_allow_same_user=yes
不幸的是,它不起作用
这表明我需要sudo/bin/sh
(或其他shell)的权限。不幸的是,出于安全原因,这是不可能的。下面是/etc/sudoers
中的一个片段:
root ALL=(ALL) ALL
awoolford ALL=(ALL) ALL, !SU, !SHELLS, !RESTRICT
Ansible能在这样的环境中工作吗?如果是这样,我做错了什么?好吧,你不能像你的
/etc/sudoers
那样执行/bin/sh
或/bin/bash
。您可以做的是将ansible的默认shell更改为其他内容(变量executable
位于ansible.conf
)
由于您的sudo策略默认允许所有操作(对我来说似乎不太安全),并且我认为ansible希望有一个与sh兼容的shell,作为一个真正肮脏的黑客,您可以将/bin/bash
复制到其他路径/名称,并相应地设置可执行文件
变量(未测试)。在playbook(some.yml)文件中,设置
运行此Playbook.yml
---
- hosts: label_which_will_work_on_some_servers
sudo: yes
roles:
- some_role_i_want_to_run
接下来,在角色//tasks/main.yml中,为您必须以sudo身份运行的操作指定。。使用类似于成为\u用户(其中common\u user是在某个角色的defaults\main.yml文件中定义为common\u user的变量:“this\u user\u can\u sudo”:
PS:运行ansible playbook时
ansible playbook运行thisplaybook.yml--sudo user=this\u user\u can\u sudo-i hosts.yml-u user\u将从\u source\u机器连接\u的用户\u-私钥${DEPLOYER\u key\u FILE}--extra vars“target\u svr\u type=${server\u type}部署\u环境=${deploy deploy environment}ansible\u用户=${ansible\u用户}”我认为现在
sudo:yes
已被去除润滑油并替换为been:yes
---
- hosts: servers_on_which_you_want_to_run
become: yes
roles:
- some_role
如果不接受root
用户,smiplist解决方案只需在playbook目录中创建一个包含以下内容的ansible.cfg
:
[defaults]
sudo_user = UsernameToWhichYouWantToUse
希望,这将解决您的问题。在对该主题进行研究后,从Ansible2.8开始,您似乎没有办法以不同用户的身份使用
been
在没有root权限的情况下运行命令
还有另一种方法可以实现你所要求的,而不必如此,如何说“黑客”
您可以将shell
模块与sudo su--c“COMMAND”
一起使用,以不同的用户身份执行命令,而无需对原始用户进行root访问
比如说,
1 ---
2 - hosts: target_host
3
4 tasks:
5 - shell: 'sudo su EXEC_USER -c "whoami"'
6 register: x
7
8 - debug:
9 msg: "{{ x.stdout_lines }}" # This returns EXEC_USER
但是,如果您的游戏很复杂,则需要将其分解并仅包装需要作为不同用户执行的命令
这不是最佳实践(使用sudo+shell而不是been),但这是一个解决方案,在我看来,这比在您管理的每个节点上创建虚拟shell要好。您说过可以手动ssh到节点并执行命令,这是哪个用户?我可以
sudo[some_command]
作为用户awoolford
,前提是它不在!
列表中(请参阅/etc/sudoers
中的片段)。您能分享一个抛出错误的示例剧本/角色吗?
1 ---
2 - hosts: target_host
3
4 tasks:
5 - shell: 'sudo su EXEC_USER -c "whoami"'
6 register: x
7
8 - debug:
9 msg: "{{ x.stdout_lines }}" # This returns EXEC_USER