我正在运行Ansible playbook,它在一台机器上工作正常。
在我第一次尝试的新机器上,我收到以下错误。
17:04:34 PLAY [appservers] *************************************************************
17:04:34
17:04:34 GATHERING FACTS ***************************************************************
17:04:34 fatal: [server02.cit.product-ref.dev] => {'msg': "FAILED: (22, 'Invalid argument')", 'failed': True}
17:04:34 fatal: [server01.cit.product-ref.dev] => {'msg': "FAILED: (22, 'Invalid argument')", 'failed': True}
17:04:34
17:04:34 TASK: [common | remove old ansible-tmp-*] *************************************
17:04:34 FATAL: no hosts matched or all hosts have already failed -- aborting
17:04:34
17:04:34
17:04:34 PLAY RECAP ********************************************************************
17:04:34 to retry, use: --limit @/var/lib/jenkins/site.retry
17:04:34
17:04:34 server01.cit.product-ref.dev : ok=0 changed=0 unreachable=1 failed=0
17:04:34 server02.cit.product-ref.dev : ok=0 changed=0 unreachable=1 failed=0
17:04:34
17:04:34 Build step 'Execute shell' marked build as failure
17:04:34 Finished: FAILURE
如果我首先转到源计算机(从我运行ansible playbook)并手动ssh到目标计算机(作为给定用户)并输入“yes”表示known_hosts文件条目,则可以解决此错误。
现在,如果我第二次运行相同的ansible playbook,它的工作没有错误。
因此,如何为第一次为给定用户(〜/ .ssh文件夹,文件known_hosts)创建ssh known_hosts条目时,如何禁止SSH提供的提示?
如果我在〜/ .ssh / config文件中使用以下配置条目,我发现我可以这样做。
的〜/ .ssh /配置
# For vapp virtual machines
Host *
StrictHostKeyChecking no
UserKnownHostsFile=/dev/null
User kobaloki
LogLevel ERROR
即如果我将上述代码放在用户的远程机器的〜/ .ssh / config文件中并首次尝试Ansible playbook,我将不会被提示“是”,并且playbook将成功运行(不需要用户手动创建从源计算机到目标/远程计算机的known_hosts文件条目。
我的问题:1。如果我去〜/ .ssh / config方式,我应该注意哪些安全问题2.如何在命令行中将设置(配置文件中的内容)作为参数/选项传递给ansible,以便它将在新机器上第一次运行(不提示/取决于源机器上目标机器的known_hosts文件条目?
ansible docs有a section on this。引用:
Ansible 1.2.1及更高版本默认启用主机密钥检查。
如果重新安装主机并且在'known_hosts'中具有不同的密钥,则会在纠正之前产生错误消息。如果主机最初不在'known_hosts'中,这将导致提示确认密钥,如果使用Ansible,例如cron,则会产生交互式体验。你可能不想要这个。
如果您了解其含义并希望禁用此行为,则可以通过编辑/etc/ansible/ansible.cfg或〜/ .ansible.cfg来执行此操作:
[defaults]
host_key_checking = False
或者,这可以通过环境变量设置:
$ export ANSIBLE_HOST_KEY_CHECKING=False
另请注意,paramiko模式下的主机密钥检查速度相当慢,因此在使用此功能时也建议切换到“ssh”。
要更新本地known_hosts
文件,我最终使用ssh-keyscan
(使用dig
将主机名解析为IP地址)和ansible模块known_hosts
的组合,如下所示:(filename ssh-known_hosts.yml
)
- name: Store known hosts of 'all' the hosts in the inventory file
hosts: localhost
connection: local
vars:
ssh_known_hosts_command: "ssh-keyscan -T 10"
ssh_known_hosts_file: "{{ lookup('env','HOME') + '/.ssh/known_hosts' }}"
ssh_known_hosts: "{{ groups['all'] }}"
tasks:
- name: For each host, scan for its ssh public key
shell: "ssh-keyscan {{ item }},`dig +short {{ item }}`"
with_items: "{{ ssh_known_hosts }}"
register: ssh_known_host_results
ignore_errors: yes
- name: Add/update the public key in the '{{ ssh_known_hosts_file }}'
known_hosts:
name: "{{ item.item }}"
key: "{{ item.stdout }}"
path: "{{ ssh_known_hosts_file }}"
with_items: "{{ ssh_known_host_results.results }}"
要执行这样的yml,是的
ANSIBLE_HOST_KEY_CHECKING=false ansible-playbook path/to/the/yml/above/ssh-known_hosts.yml
因此,对于清单中的每个主机,将在known_hosts
文件中的hostname,ipaddress对记录下添加/更新所有支持的算法;如
atlanta1.my.com,10.0.5.2 ecdsa-sha2-nistp256 AAAAEjZHN ... NobYTIGgtbdv3K+w=
atlanta1.my.com,10.0.5.2 ssh-rsa AAAAB3NaC1y ... JTyWisGpFeRB+VTKQ7
atlanta1.my.com,10.0.5.2 ssh-ed25519 AAAAC3NaCZD ... UteryYr
denver8.my.com,10.2.13.3 ssh-rsa AAAAB3NFC2 ... 3tGDQDSfJD
...
(如果库存文件如下所示:
[master]
atlanta1.my.com
atlanta2.my.com
[slave]
denver1.my.com
denver8.my.com
)
与Xiong的答案相反,这将正确处理known_hosts
文件的内容。
如果使用目标主机重新映像的虚拟化环境(因此ssh pub键被更改),此播放特别有用。
从安全角度来看,完全禁用主机密钥检查是一个坏主意,因为它会让您受到中间人攻击。
如果你可以假设当前的网络没有受到损害(也就是说,当你第一次ssh到机器并且出现一个密钥时,那个密钥实际上是机器而不是攻击者),那么你可以使用ssh-keyscan
和the shell module将新服务器的密钥添加到已知的主机文件中(编辑:Stepan's answer这样做更好):
- name: accept new ssh fingerprints
shell: ssh-keyscan -H {{ item.public_ip }} >> ~/.ssh/known_hosts
with_items: ec2.instances
(在ec2 provisioning之后你会发现在这里展示。)
关注@Stepan Vavra的正确答案。较短的版本是:
- known_hosts:
name: "{{ item }}"
key: "{{ lookup('pipe', 'ssh-keyscan {{ item }},`dig +short {{ item }}`') }}"
with_items:
- google.com
- github.com
不会做这样的工作来启动known_hosts文件:
ANSIBLE_HOST_KEY_CHECKING=false ansible all -m ping
这应该连接到清单中的每个主机,更新每个主机的known_hosts文件而不必为每个提示输入“yes”,然后在每个主机上运行“ping”模块?
快速测试(删除我的known_hosts文件然后运行上面的操作,在Ubuntu 16.04实例上完成)似乎填充了known_hosts文件及其当前指纹。
@Stepan Vavra的解决方案对我不起作用,因为我使用别名主机(连接到没有DNS可用的内部IP,所以我想要更多描述性名称来引用清单中的每个主机并拥有ansible_host变量指向每个的实际IP)。运行上面的操作要简单得多,并且我的known_hosts文件已经启动,而无需在ansible或ssh中禁用主机密钥检查。
您也可以从服务器操作系统级别设置此项。您需要配置ssh配置文件以避免ssh检查提示:
编辑文件路径:
/etc/ssh/ssh_config
现在取消注释:
StrictHostKeyChecking no
保存更改就是这样
警告:Ansible将不再对具有上述设置的任何连接执行SSH主机密钥验证