如何为ansible-playbook
正在使用的所有可能命令创建列表,以便可以创建sudoers
文件?
为了测试剧本,我临时在/etc/sudoers.d
中创建了一个条目:
tempuser ALL=(ALL:ALL) NOPASSWD:ALL
但有没有类似命令列表的插件或方法,这样我以后就可以创建一个类似
的列表tempuser ALL= NOPASSWD: /bin/systemctl start mariadb.service
...
有什么想法吗?
如果要对Anable使用权限提升,则privilege escalation must be general
不能将权限提升权限限制为某些命令。Ansible并不总是使用特定的命令来执行某些操作,而是从每次都会更改的临时文件名运行模块(代码)。如果您使用‘/sbin/service’或‘/bin/chmod’作为允许的命令,则使用Ansible将失败,因为这些路径将与Ansible创建的用于运行模块的临时文件不匹配。如果您的安全规则将您的sudo/pbrun/doas环境限制为仅运行特定的命令路径,请使用不具有此限制的特殊帐户的Anable,或使用Red Hat Ansible Tower管理对SSH凭据的间接访问。 如上面的文档引用所示,这是该工具的一个众所周知的限制。如果这是您环境中的问题,请查看文档引用中上述建议的解决方法,或者根本不使用Ansible。