Deploy de public keys con Ansible

Hola!

Quienes usamos o empezamos a usar Ansible nos preguntamos cómo instalar la clave pública en los hosts (que pueden ser muchos) que queremos manejar a través de Ansible... usando Ansible mismo :)

La respuesta la encontré a través de un playbook que luce de la siguiente manera:

$ cat deploy_ssh_key.yml  
1:  ---  
2:  - hosts: all  
3:   gather_facts: false  
4:   vars_files:  
5:    - external_vars.yml  
6:   tasks:  
7:   - name: Create direcotry  
8:    file:  
9:     path: "/home/usuario-remoto/.ssh"  
10:     state: directory  
11:   - name: Create empty file  
12:    file:  
13:     path: "/home/usuario-remoto/.ssh/authorized_keys"  
14:     state: touch  
15:   - name: Put pubkey  
16:    lineinfile:  
17:     path: "/home/usuario-remoto/.ssh/authorized_keys"  
18:     line: "{{ pub_key }}"

El archivo external_vars.yml contiene la clave pública:

 $ cat external_vars.yml  
 ---  
 pub_key: ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQCnTvKiRzIU0Jqz3kpf97wVJdT4LwHZuu6Nr/GFFOtq0QeWP5Eu6JmWkvwuNoghdXu/lxHf//07djGUfxnt9BDdQmDMsGx3qEFzAQAlrlq2P6lygSksy8MROQsHCDzT0hX7pntiwigDE7rUuGt3h3T+IFuvjfZqMx2wiX4dFLUC9+HcdtUuzMHjMs1zevP2nmpOWAP7LkcwlkdJZIpkOqujshJFymuXylWvT8vV5RbqwB7ZaR1m+rpCYt1MQFgHgI/42jXeywbORA3Nm6pjVCccNjJ5DpbhiEZA/O/SJH/zlFPuoPaTai5sH8MLuU8h11C4U9UPY08/XhAkIDebVri1 ansible@verovan.com.ar  
 ...

El comando de Ansible se ejecuta de la siguiente manera:

 $ ansible-playbook -u usuario-remoto deploy_ssh_key.yml --ask-pass -c paramiko

(-c paramiko lo usé debido a un issue reportado en https://github.com/ansible/ansible/issues/3564)

Para verificar que está todo en orden y que la clave fue instalada correctamente:

 $ ansible all -u usuario-remoto --private-key-file=/ruta/a/la/clave-privada -m ping

El módulo lineinfile lo usé para apendar la clave pública en el archivo authorized_keys (ver https://docs.ansible.com/ansible/latest/modules/lineinfile_module.html)

Espero que les resulte de utilidad!

NOTAS ADICIONALES

Si se deploya las keys en CentOS 6, es necesario cambiar los permisos tanto del fichero authorized_keys como del directorio .ssh. El playbook quedaría de esta manera:

 ---  
 - hosts: curso  
  gather_facts: true  
  vars_files:  
   - external_vars.yml  
  tasks:  
  - name: make direcotry  
   
   file:  
    path: "/home/usuario-remoto/.ssh"  
    state: directory  
   
  - name: create empty file  
   file:  
    path: "/home/usuario-remoto/.ssh/authorized_keys"  
    state: touch  
   
  - name: put pubkey  
   lineinfile:  
    path: "/home/usuario-remoto/.ssh/authorized_keys"  
    line: "{{ pub_key }}"  
   
  - name: change permissions file  
   file:  
    path: "/home/usuario-remoto/.ssh/authorized_keys"  
    mode: 0600  
   when: ansible_distribution == "CentOS"   
   
  - name: change permissions dir  
   file:  
    path: "/home/usuario-remoto/.ssh"  
    mode: 0700  
   when: ansible_distribution == "CentOS"

Comentarios

Publicar un comentario

Entradas más populares de este blog

Zabbix en dos días (día 1)

Imagen
Buenas tardes bloggeros! Esta tarde de domingo me propuse a hacer un pequeñísimo resumen de lo que fue mi aprendizaje acelerado de Zabbix . Esta poderosa herramienta para monitoreo de servicios, hosts, routers y switches es fundamental, desde mi punto de vista, en cualquier organización que cuente con una infraestructura de red donde haya servicios que son críticos y que deben tener alta disponibilidad, si es que de ellos depende nuestro negocio. Ya venía con esta idea desde que entré a trabajar de deployar una herramienta de estas características. Así que investigando, leyendo y probando llegué a Zabbix. Pasé por Nagios y The Dude; la primera me parecía demasiado costosa en tiempo para que funcione aunque sea en un entorno de prueba, ya que para cada host que haya que dar de alta es preciso configurar un fichero; la segunda que pertenece a la gente de Mikrotik no es de código abierto y solo puede ejecutarse en entorno Windows. Como utilizo tecnologías open source y c...
Leer más

OpenVPN para todos :D

Imagen
Buenas tardes, bloggeros! En esta entrada les comparto la configuración de un servidor OpenVPN, algo extremadamente útil y necesario para establecer conexiones privadas y seguras sobre una red totalmente insegura, como por ejemplo INTERNET. Es realmente sencillo, aunque creo necesario interiorzarse en qué es una VPN, su funcionamiento y cuáles son los tipos de VPN junto a sus ventajas y desventajas. En mi caso elegí OpenVPN, por ser de código abierto, estar disponible en los repositorios de Debian, hay mucha documentación disponible y configurarla es simple. Como detalle en la configuración del servidor que usé, verán que elegí usar el adaptador tap  por una cuestión de comodidad de crear un servidor que permitiera múltiples clientes conectados a un bridge , es decir que estarían todos "enchufados a un mismo switch". Usar una interface de red tap tiene sus ventajas y desventajas. Sin más, acá va el fichero server.conf con las directivas: local 192...
Leer más

Sincronizar con rsync

Imagen
Buenas tardes, internautas bloggeros. En esta entrada les voy a contar sobre rsync , una herramienta tremenda que me permitió ahorrar mucho tiempo a la hora de copiar grandes volúmenes de información de una pc a otra. Tal como dice la Wikipedia, rsync es una aplicación libre para sistemas de tipo Unix y Microsoft Windows que ofrece transmisión eficiente de datos incrementales, que opera también con datos comprimidos y cifrados. Mediante una técnica de delta encoding , permite sincronizar archivos y directorios entre dos máquinas de una red o entre dos ubicaciones en una misma máquina, minimizando el volumen de datos transferidos. Una característica importante de rsync no encontrada en la mayoría de programas o protocolos es que la copia toma lugar con sólo una transmisión en cada dirección. rsync puede copiar o mostrar directorios contenidos y copia de archivos, opcionalmente usando compresión y recursión. En mi caso, tenía que sacar todos los archivos personales...
Leer más