Кажется, что для основного пользователя Ansible есть только два разумных подхода:
rootansible) с участием NOPASSWD sudo доступПервый вариант не подходит, так как я съеживаюсь при мысли о сохранении PermitRootLogin на. Итак, по умолчанию второй вариант кажется правильным.
Я думал, по крайней мере, в /etc/ssh/sshd_config:
Match User ansible
PasswordAuthentication No
И ограничение использования ключа хостом Ansible с помощью from вариант в authorized_keys:
from="192.168.100/24"
Есть ли у меня какие-либо другие идеи или проблемы / проблемы?
Это меры, которые я использую для клиентов, которым необходимо удаленно управлять с помощью ssh (в моем случае с использованием BackupPC вместо Ansible, но он работает таким же образом).
Если вы используете ssh только для управления клиентами, а не для доступа к оболочке, добавление
AllowUsers ansible
PasswordAuthentication no
Вы можете иметь учетную запись пользователя, для которой требуется пароль для доступа к SUDO, и предоставлять это значение во время выполнения через --ask-sudo-pass флаг (-K) для ansible-playbook
ansible-playbook -i inv/production -K playbook.yml
видеть http://docs.ansible.com/playbooks_intro.html Больше подробностей