Code
2025-01-19 05:00:06

如何忽略ansible SSH的真实性检查?

是否有一种方法可以忽略由Ansible做出的SSH真实性检查?例如,当我刚刚安装了一个新服务器时,我必须回答这个问题:

GATHERING FACTS ***************************************************************
The authenticity of host 'xxx.xxx.xxx.xxx (xxx.xxx.xxx.xxx)' can't be established.
RSA key fingerprint is xx:yy:zz:....
Are you sure you want to continue connecting (yes/no)?

我知道这通常是一个坏主意,但我将它合并到一个脚本中,该脚本首先在我的云提供商创建一个新的虚拟服务器,然后自动调用我的ansible playbook来配置它。我希望在脚本执行过程中避免任何人为干预。

当前回答

您可以简单地告诉SSH自动接受新主机的指纹。只需添加

StrictHostKeyChecking=accept-new

到您的~/.ssh/config。它并没有完全禁用主机密钥检查,只是禁用了是否要向已知主机列表添加新指纹这个恼人的问题。如果已知机器的指纹发生了变化,您仍然会得到错误。

此策略还适用于ANSIBLE_HOST_KEY_CHECKING和其他将此参数传递给SSH的方式。

2022-07-11 07:24:47

其他回答

使用名为validate_certs的参数来忽略ssh验证

- ec2_ami:
    instance_id: i-0661fa8b45a7531a7
    wait: yes
    name: ansible
    validate_certs: false
    tags:
      Name: ansible
      Service: TestService

通过这样做,它忽略了ssh验证过程

2019-05-14 19:57:25

你可以在运行playbook时将它作为命令行参数传递:

ansible-playbook玩。yml——ssh-common-args='-o StrictHostKeyChecking=no'

2019-01-07 05:11:51

忽视检查是一个坏主意,因为它使你容易受到中间人的攻击。

我通过只添加每台机器的密钥一次并在Ansible中实际设置ok/更改状态来改善nikobelia的答案:

- name: Accept EC2 SSH host keys
  connection: local
  become: false
  shell: |
    ssh-keygen -F {{ inventory_hostname }} || 
      ssh-keyscan -H {{ inventory_hostname }} >> ~/.ssh/known_hosts
  register: known_hosts_script
  changed_when: "'found' not in known_hosts_script.stdout"

然而,Ansible在脚本运行之前就开始收集事实,这需要SSH连接,所以我们必须禁用这个任务或手动将它移到后面:

- name: Example play
  hosts: all
  gather_facts: no  # gather facts AFTER the host key has been accepted instead

  tasks:

  # https://stackoverflow.com/questions/32297456/
  - name: Accept EC2 SSH host keys
    connection: local
    become: false
    shell: |
      ssh-keygen -F {{ inventory_hostname }} ||
        ssh-keyscan -H {{ inventory_hostname }} >> ~/.ssh/known_hosts
    register: known_hosts_script
    changed_when: "'found' not in known_hosts_script.stdout"
  
  - name: Gathering Facts
    setup:

我一直无法解决的一个问题是,即使它只添加了一个键,它也会将所有内容标记为已更改。如果有人可以贡献一个修复,那将是伟大的!

2020-07-23 13:04:20

主机密钥检查是重要的安全措施,所以我不会到处跳过它。是的,如果你一直重新安装相同的测试主机(没有备份它的SSH证书),或者如果你有稳定的主机,但你运行Jenkins的剧本,如果你第一次连接到主机,没有简单的添加主机密钥的选项,这可能会很烦人。所以:

这是我们在库存文件中用于稳定主机(当运行Jenkins的剧本时,你只是想在第一次连接到主机时接受主机密钥):

[all:vars]
ansible_ssh_common_args='-o StrictHostKeyChecking=accept-new'

这是我们的临时主机(在最后这将忽略他们的主机键):

[all:vars]
ansible_ssh_common_args='-o StrictHostKeyChecking=no -o UserKnownHostsFile=/dev/null'

还有一个环境变量,或者你可以把它添加到组/主机变量文件中。没有必要把它列在清单里——这对我们来说只是方便而已。

在这里使用了一些其他的回答和一个同事的解决方案,谢谢!

2022-09-15 08:26:45

您可以简单地告诉SSH自动接受新主机的指纹。只需添加

StrictHostKeyChecking=accept-new

到您的~/.ssh/config。它并没有完全禁用主机密钥检查,只是禁用了是否要向已知主机列表添加新指纹这个恼人的问题。如果已知机器的指纹发生了变化,您仍然会得到错误。

此策略还适用于ANSIBLE_HOST_KEY_CHECKING和其他将此参数传递给SSH的方式。

2022-07-11 07:24:47

推荐文章

aliyun

最新文章

标签

2025 code 京ICP备15047053号-1