В рамках настройки нового сервера я предоставляю /etc/security/access.conf с IP-адресами пользователя / группы и src для разрешенных входов по ssh. Это требует включения pam_access в /etc/pam.d/login и /etc/pam.d/sshd файлы (в любом случае на Ubuntu)
Это кажется В Ansible есть модуль для изменения некоторых из этих правил, но я не могу заставить его работать. Условия модулей: «Для изменения правила PAM тип, элемент управления и путь_модуля должны соответствовать существующему правилу». Означает ли это, что если правило закомментировано, pamd модуль не будет работать для включения этой строки?
Это моя текущая игра. Я пробовал удалить with_items строку в задаче и используя login для name: параметр, но это тоже не работает:
---
- hosts: all
gather_facts: False
tasks:
- name: modify pam_access in /etc/pam.d for sshd and login
pamd:
name : "{{ item }}"
type : account
control: required
module_path: pam_access.so
with_items:
- login
- sshd
И это результат его запуска. Мне нечего делать дальше:
$ ansible-playbook tests/pam-access.yml -i 192.168.24.66,
SUDO password:
PLAY [all] ***********************************************************************************************************
TASK [modify pam_access in /etc/pam.d for sshd and login] ************************************************************
ok: [192.168.24.66] => (item=login)
failed: [192.168.24.66] (item=sshd) => {"changed": false, "item": "sshd", "module_stderr": "Shared connection to 192.168.24.66 closed.\r\n", "module_stdout": "\r\nTraceback (most recent call last):\r\n File \"/tmp/ansible_vzO7tZ/ansible_module_pamd.py\", line 691, in <module>\r\n main()\r\n File \"/tmp/ansible_vzO7tZ/ansible_module_pamd.py\", line 645, in main\r\n pamd.load_rules_from_file()\r\n File \"/tmp/ansible_vzO7tZ/ansible_module_pamd.py\", line 361, in load_rules_from_file\r\n self.load_rules_from_string(stringline.replace(\"\\\\\\n\", \"\"))\r\n File \"/tmp/ansible_vzO7tZ/ansible_module_pamd.py\", line 380, in load_rules_from_string\r\n self.rules.append(PamdRule.rulefromstring(stringline))\r\n File \"/tmp/ansible_vzO7tZ/ansible_module_pamd.py\", line 312, in rulefromstring\r\n rule_type = result.group(1)\r\nAttributeError: 'NoneType' object has no attribute 'group'\r\n", "msg": "MODULE FAILURE", "rc": 1}
PLAY RECAP ***********************************************************************************************************
192.168.24.66 : ok=0 changed=0 unreachable=0 failed=1
Закончил с lineinfile. Если у кого-то есть лучшее решение, я хотел бы его увидеть.
---
- hosts: all
gather_facts: False
tasks:
- name: un-comment or add pam_access in /etc/pam.d files
lineinfile:
path : "{{ item }}"
regexp : "#.*account.*required.*pam_access.so"
line : "account required pam_access.so"
insertafter : ".*include.*common-auth"
state : present
with_items:
- /etc/pam.d/login
- /etc/pam.d/sshd
Запустите его с параметром -vvvv, чтобы узнать, почему это не удалось. В файлах sshd и login найдите правило, которое уже существует, затем вы используете параметр состояния, чтобы указать ему вставить новое правило до или после существующего. Например:
Попробуйте этот формат, чтобы создать новое правило:
- name: modify pam_access in /etc/pam.d for sshd and login
pamd:
name: '{{ item }}'
#Existing type, control, and module_path in sshd and login
type: account
control: required
module_path: pam_nologin.so
#New rule you want to add
new_type: account
new_control: required
new_module_path: pam_access.so
module_arguments: insert new args here, if applicable. Remove if none.
#Inserts rule before existing rule - can use after as well
state: before
#loops through both files - if existing module exists in both.
loop:
- login
- sshd
Или вы можете найти существующее правило и изменить модуль / элемент управления:
- name: Update pam_pwquality.so Rule Control
pamd:
name: '{{ item }}'
type: account
control: required
module_path: pam_nologin.so
new_module_path: pam_pwquality.so
loop:
- login
- sshd