有没有办法忽略Ansible进行的SSH真实性检查?例如,当我刚刚设置新服务器时,我必须回答以下问题:
GATHERING FACTS ***************************************************************
The authenticity of host 'xxx.xxx.xxx.xxx (xxx.xxx.xxx.xxx)' can't be established.
RSA key fingerprint is xx:yy:zz:....
Are you sure you want to continue connecting (yes/no)?
我知道这通常不是一个好主意,但是我将其合并到脚本中,该脚本首先在我的云提供商处创建了一个新的虚拟服务器,然后自动调用我的ansible剧本进行配置。我想在脚本执行过程中避免任何人为干预。
Answers:
两种选择-第一种,如您在自己的答案中所述,设置环境变量 ANSIBLE_HOST_KEY_CHECKING为False。
设置它的第二种方法是将其放在ansible.cfg文件中,这是一个非常有用的选项,因为您可以全局设置(在系统或用户级别,在/etc/ansible/ansible.cfg或~/.ansible.cfg),也可以在同一目录下的配置文件中进行设置作为您正在运行的剧本。
为此,请ansible.cfg在这些位置之一中制作一个文件,并包括以下内容:
[defaults]
host_key_checking = False
您还可以在此处设置许多其他方便的默认值,例如是否在播放开始时收集事实,是否合并在多个位置声明的哈希值或将其替换为另一个等等。有一个选项整个大名单这里的Ansible文档。
编辑:关于安全性的说明。
SSH主机密钥验证是持久主机有意义的安全层 -如果您多次连接到同一台计算机,则在本地接受主机密钥非常有价值。
对于寿命更长的EC2实例,在初始创建实例时只接受一次运行的任务即可接受主机密钥:
- name: Write the new ec2 instance host key to known hosts
connection: local
shell: "ssh-keyscan -H {{ inventory_hostname }} >> ~/.ssh/known_hosts"
检查动态站起来并在剧本执行后立即删除的实例上的主机密钥没有安全性价值,但是检查持久性计算机的主机密钥有安全性价值。因此,应在每个逻辑环境中不同地管理主机密钥检查。
~/.ansible.cfg)./ansible.cfg针对针对无用的VM进行单元测试,针对短期EC2实例的自动化的剧本,以及针对剧本的剧本)known_hosts文件中,以供SSH和Ansible识别该计算机。否则,特别是通过禁用主机密钥检查,将SSH的安全性降低到几乎为零,并允许MITM攻击。实际上,很多位于“内部网络”中的计算机都已连接到Internet,Internet上的单个更快的DNS响应使您可以与攻击者进行通信,而不是与目标服务器进行通信。
ssh-keyscan <ip list>一个值得信赖的机器上(对我来说,这是一个堡垒/跳跃主机)在同一个网络内,并把结果known_hosts 对于建立受信任主机,AWS公开实例启动日志中的主机密钥,因此寻找该密钥是一个手动步骤,如果我要完全重新创建我的环境,我将永远不会中断它。但是该主机通常不需要删除。这可能会有所帮助。
我找到了答案,您需要将环境变量设置ANSIBLE_HOST_KEY_CHECKING为False。例如:
ANSIBLE_HOST_KEY_CHECKING=False ansible-playbook ...
更改host_key_checking到false所有主机是一个非常糟糕的主意。
您唯一要忽略它的时间是在“首次联系”上,这两个任务将完成:
- name: Check SSH known_hosts for {{ inventory_hostname }}
local_action: shell ssh-keygen -F {{ inventory_hostname }}
register: checkForKnownHostsEntry
failed_when: false
changed_when: false
ignore_errors: yes
- name: Add {{ inventory_hostname }} to SSH known hosts automatically
when: checkForKnownHostsEntry.rc == 1
changed_when: checkForKnownHostsEntry.rc == 1
set_fact:
ansible_ssh_common_args: '-o StrictHostKeyChecking=no'
因此,如果known_hosts文件中没有主机密钥,则仅关闭主机密钥检查。
使用名为validate_certs的参数忽略ssh验证
- ec2_ami:
instance_id: i-0661fa8b45a7531a7
wait: yes
name: ansible
validate_certs: false
tags:
Name: ansible
Service: TestService
通过这样做,它将忽略ssh验证过程
validate_certs参数只是告诉boto不验证AWS API HTTPS证书。它不会影响SSH密钥验证。
我知道这个问题已经得到了回答,而且也是正确的,但是我只想链接ansible文档,在该文档中清楚地说明了何时以及为什么应该添加相应的检查:host-key-checking
当您要将新主机添加到剧本中的动态清单(通过add_host模块)时,出现最多的问题。我不想永久禁用指纹主机检查,因此对我而言,诸如在全局配置文件中禁用指纹主机之类的解决方案并不可行。像ANSIBLE_HOST_KEY_CHECKING在运行playbook之前一样导出var是在运行之前要做的另一件事,需要记住。
最好在剧本所在的目录中添加本地配置文件。创建名为的文件ansible.cfg并粘贴以下文本:
[defaults]
host_key_checking = False
无需记住在env vars中添加某些内容或添加到ansible-playbook选项中。将此文件放入ansible git repo很容易。