是否有一种方法可以忽略由Ansible做出的SSH真实性检查?例如,当我刚刚安装了一个新服务器时,我必须回答这个问题:
GATHERING FACTS ***************************************************************
The authenticity of host 'xxx.xxx.xxx.xxx (xxx.xxx.xxx.xxx)' can't be established.
RSA key fingerprint is xx:yy:zz:....
Are you sure you want to continue connecting (yes/no)?
我知道这通常是一个坏主意,但我将它合并到一个脚本中,该脚本首先在我的云提供商创建一个新的虚拟服务器,然后自动调用我的ansible playbook来配置它。我希望在脚本执行过程中避免任何人为干预。
我找到答案了,你需要将环境变量ANSIBLE_HOST_KEY_CHECKING设置为False。例如:
ANSIBLE_HOST_KEY_CHECKING=False ansible-playbook ...
两个选项-第一个,正如你在自己的回答中所说,是将环境变量ANSIBLE_HOST_KEY_CHECKING设置为False。
第二种设置方法是将它放在ansible.cfg文件中,这是一个非常有用的选项,因为你可以全局设置(在系统或用户级别,在/etc/ansible/ansible.cfg或~/.ansible.cfg),或者在与你正在运行的playbook相同目录的配置文件中设置。
要做到这一点,在这些位置之一创建ansible.cfg文件,并包括以下内容:
[defaults]
host_key_checking = False
您还可以在那里设置许多其他方便的默认值,比如是否在剧本开始时收集事实,是否合并在多个地方声明的哈希值,或者用另一个替换哈希值,等等。在Ansible文档中有一大堆选项。
编辑:关于安全性的说明。
SSH主机密钥验证对于持久主机来说是一个有意义的安全层——如果您多次连接到同一台机器,那么在本地接受主机密钥是很有价值的。
对于存活时间较长的EC2实例,在初始创建实例时只运行一次任务并接受主机键是有意义的:
- name: Write the new ec2 instance host key to known hosts
connection: local
shell: "ssh-keyscan -H {{ inventory_hostname }} >> ~/.ssh/known_hosts"
对于动态启动并在playbook执行后立即删除的实例,检查主机密钥没有安全价值,但是对于持久机器,检查主机密钥有安全价值。因此,您应该根据不同的逻辑环境对主机密钥检查进行不同的管理。
默认情况下启用检查(在~/.ansible.cfg中) 禁用针对临时实例运行的playbook工作目录中的主机密钥检查(./ansible.cfg与playbook一起用于针对流浪虚拟机的单元测试,用于短期ec2实例的自动化)
尼克贝利亚
对于那些使用jenkins运行playbook的人,我刚刚在运行ansible-playbook之前添加了环境变量ANSIBLE_HOST_KEY_CHECKING = False 例如这个:
export ANSIBLE_HOST_KEY_CHECKING=False
ansible-playbook 'playbook.yml' \
--extra-vars="some vars..." \
--tags="tags_name..." -vv
你可以在运行playbook时将它作为命令行参数传递:
ansible-playbook玩。yml——ssh-common-args='-o StrictHostKeyChecking=no'
将所有主机的host_key_checking更改为false是一个非常糟糕的主意。
你唯一想要忽略它的时候,是在“第一次接触”的时候,这本剧本将实现:
---
- name: Bootstrap playbook
# Don't gather facts automatically because that will trigger
# a connection, which needs to check the remote host key
gather_facts: false
tasks:
- name: Check known_hosts for {{ inventory_hostname }}
local_action: shell ssh-keygen -F {{ inventory_hostname }}
register: has_entry_in_known_hosts_file
changed_when: false
ignore_errors: true
- name: Ignore host key for {{ inventory_hostname }} on first run
when: has_entry_in_known_hosts_file.rc == 1
set_fact:
ansible_ssh_common_args: "-o StrictHostKeyChecking=no"
# Now that we have resolved the issue with the host key
# we can "gather facts" without issue
- name: Delayed gathering of facts
setup:
因此,我们只在known_hosts文件中没有主机密钥时关闭主机密钥检查。
使用名为validate_certs的参数来忽略ssh验证
- ec2_ami:
instance_id: i-0661fa8b45a7531a7
wait: yes
name: ansible
validate_certs: false
tags:
Name: ansible
Service: TestService
通过这样做,它忽略了ssh验证过程
我知道这个问题已经得到了回答,这也是正确的,但只是想链接ansible文档,其中清楚地解释了何时以及为什么应该添加相应的检查:host-key-checking
如果你不想修改ansible.cfg或者playbook。Yml,然后你可以设置一个环境变量:
export ANSIBLE_HOST_KEY_CHECKING=False
大多数问题出现在你想添加新的主机动态库存(通过add_host模块)在剧本。我不想永久禁用指纹主机检查,所以在全局配置文件中禁用它的解决方案对我来说是不合适的。在运行playbook之前像ANSIBLE_HOST_KEY_CHECKING那样导出var是运行前需要记住的另一件事。
最好将本地配置文件添加到与playbook相同的目录中。创建名为ansible.cfg的文件,并粘贴以下文本:
[defaults]
host_key_checking = False
不需要记得在env vars或ansible-playbook选项中添加一些东西。把这个文件放到ansible git repo很容易。
忽视检查是一个坏主意,因为它使你容易受到中间人的攻击。
我通过只添加每台机器的密钥一次并在Ansible中实际设置ok/更改状态来改善nikobelia的答案:
- name: Accept EC2 SSH host keys
connection: local
become: false
shell: |
ssh-keygen -F {{ inventory_hostname }} ||
ssh-keyscan -H {{ inventory_hostname }} >> ~/.ssh/known_hosts
register: known_hosts_script
changed_when: "'found' not in known_hosts_script.stdout"
然而,Ansible在脚本运行之前就开始收集事实,这需要SSH连接,所以我们必须禁用这个任务或手动将它移到后面:
- name: Example play
hosts: all
gather_facts: no # gather facts AFTER the host key has been accepted instead
tasks:
# https://stackoverflow.com/questions/32297456/
- name: Accept EC2 SSH host keys
connection: local
become: false
shell: |
ssh-keygen -F {{ inventory_hostname }} ||
ssh-keyscan -H {{ inventory_hostname }} >> ~/.ssh/known_hosts
register: known_hosts_script
changed_when: "'found' not in known_hosts_script.stdout"
- name: Gathering Facts
setup:
我一直无法解决的一个问题是,即使它只添加了一个键,它也会将所有内容标记为已更改。如果有人可以贡献一个修复,那将是伟大的!
这是我在我的环境中使用的工作方式。我使用这张票的想法https://github.com/mitogen-hq/mitogen/issues/753
- name: Example play
gather_facts: no
hosts: all
tasks:
- name: Check SSH known_hosts for {{ inventory_hostname }}
local_action: shell ssh-keygen -l -F {{ inventory_hostname }}
register: checkForKnownHostsEntry
failed_when: false
changed_when: false
ignore_errors: yes
- name: Add {{ inventory_hostname }} to SSH known hosts automatically
when: checkForKnownHostsEntry.rc == 1
changed_when: checkForKnownHostsEntry.rc == 1
local_action:
module: shell
args: ssh-keyscan -H "{{ inventory_hostname }}" >> $HOME/.ssh/known_hosts
您可以简单地告诉SSH自动接受新主机的指纹。只需添加
StrictHostKeyChecking=accept-new
到您的~/.ssh/config。它并没有完全禁用主机密钥检查,只是禁用了是否要向已知主机列表添加新指纹这个恼人的问题。如果已知机器的指纹发生了变化,您仍然会得到错误。
此策略还适用于ANSIBLE_HOST_KEY_CHECKING和其他将此参数传递给SSH的方式。
主机密钥检查是重要的安全措施,所以我不会到处跳过它。是的,如果你一直重新安装相同的测试主机(没有备份它的SSH证书),或者如果你有稳定的主机,但你运行Jenkins的剧本,如果你第一次连接到主机,没有简单的添加主机密钥的选项,这可能会很烦人。所以:
这是我们在库存文件中用于稳定主机(当运行Jenkins的剧本时,你只是想在第一次连接到主机时接受主机密钥):
[all:vars]
ansible_ssh_common_args='-o StrictHostKeyChecking=accept-new'
这是我们的临时主机(在最后这将忽略他们的主机键):
[all:vars]
ansible_ssh_common_args='-o StrictHostKeyChecking=no -o UserKnownHostsFile=/dev/null'
还有一个环境变量,或者你可以把它添加到组/主机变量文件中。没有必要把它列在清单里——这对我们来说只是方便而已。
在这里使用了一些其他的回答和一个同事的解决方案,谢谢!
