Questions tagged «ansible-vault»

我们计划在项目中使用ansible保管库，以防止git中的密码或密钥泄漏。 想法是将所有敏感数据放入一个普通文件中，然后在推送到git之前使用密码使用ansible-vault对该文件进行加密。 要解密文件，我们必须将Vault密码传递给ansible，我正在考虑3种可能性： 将其存储在服务器环境变量中 将其作为选项传递给ansible-playbook命令 将其存储到未版本控制的文件中。 是否还有其他选择，这是存储ansible-Vault密码的最佳（和安全）方法，而ansible最佳做法文档对此没有说明。

24 ansible  git  security  practices  ansible-vault 

我正在尝试在git中设置清理/涂抹过滤器，以通过ansible-vault命令对包含机密的文件进行自动加密和解密。 ansible-vault命令的特殊之处在于它不是幂等的（每次在同一数据上调用它都会创建一个不同的二进制文件）。 我从此博客页面建议的实现开始。不幸的是，它无法正常工作，因为每当调用smudge（无论是git checkout还是git status）时，秘密文件的git看起来都是经过修改的，即使不是。 所以我想知道git是否会将他在索引中的二进制文件与干净的过滤后的当前文件进行比较，因此我尝试构建如下的脚本： #!/bin/sh -x # clean filter, it is invoked with %f if [ ! -r "$HOME/.vault_password" ]; then exit 1 fi tmp=`mktemp` cat > $tmp # get the plain text from the binary in the index tmphead=`mktemp` git show HEAD:$1 > $tmphead contenthead=`echo "embedded" | …

20 git  ansible  ansible-vault 

背景 我们使用Ansible来配置和管理Azure基础结构。目前，我们“手动”运行Ansible，即我们手动执行各种自动化任务的剧本。没有CI基础架构。 可能不相关，但我们使用动态脚本管理库存azure_rm.py。 我们鼓励我们尽可能地安全，即 不要~/.vault_pass在任何本地文件中或任何本地文件中存储保险柜密码 不要在其中存储Azure机密 ~/.azure/credentials 不要将任何安全的东西存储在中.bashrc。 在这种情况下，我很难提出一种连贯的策略来确保我的剧本可以访问Azure机密，同时遵循上述准则。 题 如何避免在文件上存储Ansible Vault和Azure凭据，同时又确保我的剧本可以访问它们？ 我尝试过的 到目前为止，我已经提出了一个包装器脚本 向用户询问保险柜密码 用它来解密Vault Shell脚本 评估脚本，该脚本将Azure环境变量加载到环境中； 在已设置的环境上运行剧本。 有更好的解决方案（更优雅，更简单，更“ Ansible”）吗？

13 ansible  ansible-vault 

介绍 在像Gitlab-ce这样的私有CI和源代码控制存储库上，可以将〜/ .vault_pass.txt复制到服务器，并由CI使用它使用Ansible解密文件。 问题 在公共CI和Bitbucket之类的源代码控制存储库上，无法将〜/ .vault_pass.txt复制到它自己的CI服务器上。 讨论区 在Bitbucket中可以定义加密的变量，但是当选中此文件时，唯一与VAULT相关的变量是： ANSIBLE_ASK_VAULT_PASS ANSIBLE_VAULT_PASSWORD_FILE 这些变量不是解决此问题的选项，因为ANSIBLE_ASK_VAULT_PASS设置时ansible-vault仍会提示： user@host $ Vault password: 当输入相同的密码时，它可以打开加密的文件，但是目的是在不需要文件或在提示中输入密码的情况下打开文件。 解决该问题的另一种尝试正在运行export ANSIBLE_ASK_VAULT_PASS=<ansible-vault-password>，但是交互模式仍然存在。 另一个选择是export ANSIBLE_VAULT_PASSWORD_FILE=~/.vault_pass.txt，但是随后需要将此文件推送到存储库，但是源代码控制存储库不应包含密码。

11 ansible-vault  bitbucket