这样讲解Ansible(ansible-vault)的加密与解密真6

原创 已于 2022-09-29 18:12:44 修改 · 1.7k 阅读 · 8 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#运维 #linux #自动化 #云计算 #系统架构

于 2021-12-07 23:57:25 首次发布
本文详细介绍了如何使用Ansible Vault加密和管理playbook中的敏感信息,包括创建、查看、编辑、加密现有文件及运行playbook时的交互式和密码文件方式。学习如何确保部署文件的安全,提升运维效率。

🎹 个人简介:大家好,我是 金鱼哥,优快云运维领域新星创作者,华为云·云享专家,阿里云社区·专家博主
📚个人资质:CCNA、HCNP、CSNA(网络分析师),软考初级、中级网络工程师、RHCSA、RHCE、RHCA、RHCI、ITIL、PMP😜
💬格言:努力不一定成功,但要想成功就必须努力🔥

🎈支持我:可点赞👍、可收藏⭐️、可留言📝

文章目录


Ansible是很火的一个自动化部署工具,在ansible控制节点内,存放着当前环境服务的所有服务的配置信息,其中自然也包括一些敏感的信息,例如明文密码、IP地址等等。
从安全角度来讲,这些敏感数据的文件不应该以明文的形式存在。

Ansible官方已经考虑到了这种情况,当我们的playbook中含有不能明文展示的文本时,ansible通过命令行「ansible-vault」给你目标文件/字符串进行加密。在执行playbook时,通过指定相应参数来给目标文件解密,从而实现ansible vault的功能。

ansible可以加密任何部署相关的文件数据,例如:

  • 主机/组变量等所有的变量文件
  • tasks、hanlders等所有的playbook文件
  • 命令行导入的文件(eg : -e @file.yaml ,-e @file.json)
  • copy,template的模块里src参数所使用的文件,甚至是二进制文件。
  • playbook里用到的某个字符串参数也可以加密(Ansible>=2.3)

image-20211207140953127

那究竟应该如何操作呢?先来看看命令上的常规操作:

📜1. 创建加密文件

ansible-vault create foo.yml

执行该命令后,交互式输入两次相同的密码,则创建加密文件成功

📜2. 使用密码文件创建

ansible-vault create --vault-password-file=vault-pass secret.yml

📜3. 给现有文件加密

ansible-vault encrypt foo.yml bar.yml baz.yml

📜4. 编辑加密文件

对加密过的文件进行编辑也是我们常遇到的,命令为:

ansible-vault edit foo.yml
# 这个命令会将该文件解密,并放到一个临时文件,编辑完后再保存到原文件。

📜5. 查看加密文件

有时我们不是想编辑文件,而是简单查看下文件内容,命令为:

ansible-vault view foo.yml bar.yml baz.yml
# 从示例中我们可以看出,一行命令可以查看多个加密文件。

📜6. 更改密码

给加密文件更改密码,命令为:

ansible-vault rekey foo.yml bar.yml baz.yml
# 先交互式输入旧的密码,然后再交互式输入两次新密码,即更改密码成功。

📜7. 取消加密(解密)

取消加密的命令为:

ansible-vault decrypt foo.yml bar.yml baz.yml
# 交互式输入密码,即取消加密成功。

📜8. playbook与ansible vault

ansible执行playbook时,可以通过交互式或指定密码文件的方式来解密文件。

  • 交互式

    执行playbook时在终端以交互式的形式输入密码,示例:

    ansible-playbook --ask-vault-pass site.yaml

  • 指定密码文件

另外一种使用方式,是将密码放在某个文件内,执行playbook时,通过指定该密码文件进行解密。

可以使用「–vault-password-flie」参数:

ansible-playbook --vault-password-file=password site.yaml

image-20211207164725535

从ansible2.4版本开始,官方不再推荐使用”–vault-password-file”选项,官方开始推荐使用”–vault-id”选项代替”–vault-password-file”选项指定密码文件,也就是说,如下两条命令的效果是一样的。(推荐使用,不代表不能使用。_

ansible-vault decrypt --vault-id passwordfile site.yaml
ansible-vault decrypt --vault-password-file passwordfile site.yaml

官网地址:https://docs.ansible.com/ansible/2.9/user_guide/vault.html

image-20211207165212327

📜9. 练习演示

📑命令选项

[student@servera example]$ ansible-vault -h
usage: ansible-vault [-h] [--version] [-v]
                     {
   
   create,decrypt,edit,view,encrypt,encrypt_string,rekey}
                     ...

encryption/decryption utility for A
最低0.47元/天 解锁文章
Ansible Vault加密
m0_60790558的博客
08-19 4328
Ansible Vault概述 Ansible Vault做为Ansible的一项新功能,可将例如:password,keys等敏感数据文件进行加密处理,而非存放在明文的playbook中或roles中。 Ansible Vault使用 usage: ansible-vault [-h] [--version] [-v] {create,decrypt,edit,view,encrypt,encrypt_string,rekey} ## 加密 ansible-vault encrypt mysql.yml
ansible-vault 加密 查看加密文件 编辑加密文件 解密
qigemingzhendnan的博客
07-15 1285
ansible-vault ansible-vault create ansible创建加密文件 ansible-vault encrypt ansible对已存在的文件加密 ansible-vault view 查看加密文件 ansible-vault edit 编辑加密文件 ansible-vault decrypt 解密 ansible-vault rekey 更改加密口令
ansiblevault
Jian Sun_的博客
02-03 962
ansible-vault主要用于配置文件的加密,如编写的playbook配置文件中包含敏感的信息,不希望其他人随便的看,ansible-vault加密/解密这个配置文件。 语法:ansible-vault [create|decrypt|edit|encrypt|encrypt_string|rekey|view] [options] [vaultfile.yml] 参数: -h,...
Ansible4--------ansible中的变量及加密
ninimino的博客
09-20 352
1.变量命名 只能包含数字,下划线,字母 只能用下划线或字母开头 2.变量级别 全局: 从命令行或配置文件中设定的 paly: 在play和相关结构中设定的 主机: 由清单,事实收集或注册的任务 变量优先级设定: 狭窄范围有限广域范围 3.变量设定和使用方式 #1.在playbook中直接定义变量 name: test var hosts: all vars: USER: westosuser #2.在文件中定义变量# vim user_list.yml user: westosuser vim we
Ansible playbook Vault 加密
踏歌行的专栏
04-28 766
Ansible playbook Vault 加密详解使用案例
ansible-filter-vault:内联密码加密替代ansible-vault
05-15
使用密钥文件从密文返回解密的文本。 允许在不使用ansible-vault或不加密整个文件的情况下,删除ansible存储库中的纯文本密码。 此版本适用于Ansible 2.5+ 配置 ansible.cfg配置选项。 请注意部分名称vault_filter ...
Ansible-ansible-vault-automator.zip
09-18
Ansible-ansible-vault-automator.zip,通过finder(而不是命令行)轻松地加密、编辑和解密文件。选择编辑加密文件时,可以直接在Sublime Text 3中编辑,而不是在nano或vim.ansible-vault自动机中编辑。,ansible是一...
atom-ansible-vault:用于创建和修改ansible-vault文件的Atom程序包
01-31
Atom软件包,用于解密加密ansible-vault文件。 按ctrl-alt-0加密解密文件。 注意:在首次安装时,程序包将在/ usr / local / bin / ansible-vault中搜索ansible-vault二进制文件。 如果不在该目录中,则必须...
ansible使用用户密码远程执行命令
Shyllin的博客
03-23 6998
ansible使用用户密码远程执行命令
ansible通用户密码 登录linux服务器
最新发布
zengliguang的专栏
03-30 734
但是,在某些情况下,如果您想通过用户名和密码登录 Linux 服务器,Ansible 也是支持这种做法的,尤其是针对一些临时性的或特殊情况下的自动化任务。在企业环境中,为了避免密码凭证的安全风险,通常会利用 Vault 功能加密敏感数据,或者通过其他认证机制(如 Kerberos 或 LDAP)来提升自动化运维的安全性。然而,由于密码在命令行历史记录中可能会被记录下来,或在其他地方容易暴露,因此强烈建议使用 SSH 密钥对进行认证,这是更安全的做法。如需临时使用密码认证,可以结合。(旧版本中使用)来实现。
Ansible数据加密
孔小发
07-03 485
ansible-vault 如何保护数据 ansible-vault能够加密什么? ansible-vault能够加密任何结构化数据,包括yaml文件. 加密变量 role中的变量文件,例如vars和defaults 资源清单变量,例如host_vars和group_vars 包含include_vars和vars_files的变量文件 通过-e参数传递给ansbile-playbook...
ansible中的变量及加密
m0_61086860的博客
08-01 702
playbook
【安全风险】恶意软件-概念、攻击和检测
qq_53058639的博客
01-24 1922
Malware一词是恶意软件的缩写。恶意软件是任何以破坏设备、窃取数据为目的编写的软件,通常会造成混乱。通常,他们只是想赚钱,要么自己传播恶意软件,要么把它卖给暗网上出价最高的人。然而,创建恶意软件也可能有其他原因——它可以被用作抗议的工具,一种测试安全性的方法,甚至是政府之间的战争武器。
ansible加密汇总
热门推荐
qq_28686911的博客
08-04 6万+
文件加解密 ansible-vault 加密 ansible-vault encrypt file 解密 ansible-vault decrypt file 查看加密文件 ansible-vault view file 读取密钥文件 –vault-password-file ansible all -m ping --vault-password-file passwdfile
AnsibleTower
weixin_30847939的博客
01-15 321
Ansible Tower 官方文档: http://docs.ansible.com/ansible-tower/latest/html/installandreference/tower_install_wizard.html 环境: CentOS 7.2 ansible 2.2.0.0 ansible-tower 3.0.3 redis-cli 2.8.1...
Ansible中的变量和加密
ly660402的博客
12-02 172
##1.变量命名## 只能包含数字,下划线,字母 只能用下划线或字母开头 ##2.变量级别## 全局: 从命令行或配置文件中设定的 paly: 在play和相关结构中设定的 主机: 由清单,事实收集或注册的任务 示例: 全局变量: play 主机: 变量优先级设定: 狭窄范围有限广域范围 #2.在文件中定义变量# #4.设定主机变量和清单变量# #在定义主机变量和清单变量时使用 主机变量: 清单变量: #5.目录设定变量# group_vars ##清单...
Ansible 安全 之【加密主机清单】
Yosigo_的博客
10-27 948
Ansible 安全 之【加密主机清单】 设置主机清单配置文件密码 ansible-vault encrypt /etc/ansible/hosts # New Vault password: # Confirm New Vault password: # Encryption successful 加密查看主机清单配置文件,无法查看 cat /etc/ansible/hosts # $ANSIBLE_VAULT;1.1;AES256 # 3733383264323466393965373
ansible自动化运维(4)——Ansible实现远程创建用户并对密码进行加密设置
AmourHaiti的博客
10-18 536
以下所有的实验来都是在redhat7.3上 (1)查看主机信息 (2)编写最基本的创建用户的yml文件 (3)开始为server6主机创建用户 (4)在server6查看用户 (5)再次编辑yml文件,加入密码并且加密6查看server6用户是否被进行加密,下图显示已加密 (7)再次编辑,执行并且查看 (8)为了实现高效添加,引用文件变量 创建一个专门存放用户名和...
Ansible加密解密实践:使用ansible-vault自动化密码文件
"Ansible加密解密的使用主要依赖于`ansible-vault`工具,该工具提供了对Ansible文件的加密解密功能,确保敏感信息的安全存储。Ansible-vault支持AES256加密算法,这是一种强大的对称加密方式,需要一个密码作为...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

IT民工金鱼哥

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值