按照集團運維資訊保安制度, 需要每個一段時間對線上伺服器密碼進行一次變更,通過shell指令碼部署比較繁瑣,所以決定採用ansible指令碼對遠端主機root密碼進行批量重置,該指令碼已經在穩定執行在正式環境下。具體方法如下:
1) 在服務端安裝ansible
[root@ansible-server ~]# yum install -y ansible
2) 配置ansible到遠端主機的ssh無密碼信任關係 (authoried_keys
模組)
批量實現多臺伺服器之間ssh無密碼登入的相互信任關係, 可以參考之前的文章: https://www.cnblogs.com/kevingrace/p/9063745.html 這裡採用Ansible 實現批量建立互信, 方法如下: 首先要生成ansible服務端本機ssh的key [root@ansible-server ~]# ssh-keygen -t rsa //一路回車 [root@ansible-server ~]# ls /root/.ssh/ id_rsa id_rsa.pub ==================================================== 需要注意ssh建立互信的命令格式: # ssh-copy-id -i ~/.ssh/id_rsa.pub username@[ip,hostname] ==================================================== 在客戶機比較多的情況下,使用 ssh-copy-id命令的方法顯然是有些費時,使用ansible-playbook 推送 ymal進行批量建立ssh互信關係就顯得省事多了, 這裡就使用到了ansible的authoried_keys 模組: 首先要配置ansible清單 (遠端主機的密碼這裡為"123456") [root@ansible-server ~]# vim /etc/ansible/hosts ................ ................ [ssh-host] 172.16.60.204 172.16.60.205 172.16.60.206 172.16.60.207 [ssh-host:vars] ansible_ssh_pass="123456" ========================================================== 傳送公鑰到目標機器命令格式如下: # ansible ssh-host -m copy -a "src=/root/.ssh/id_rsa.pub dest=/root/.ssh/authorized_keys mode=600" ========================================================== 編寫playbook檔案 [root@ansible-server ~]# vim /opt/ssh_key.yaml --- - hosts: ssh-host user: root tasks: - name: ssh-copy authorized_key: user=root key="{{ lookup('file', '/root/.ssh/id_rsa.pub') }}" 注意上面yaml指令碼中的"ssh-key-host"是在/etc/ansible/hosts清單檔案裡配置的遠端客戶機列表 這裡做的是基於遠端主機root使用者的ssh互信 執行批量互信 [root@ansible-server ~]# ansible-playbook /opt/ssh_key.yaml PLAY [ssh-host] ************************************************************************************************************************ TASK [Gathering Facts] ***************************************************************************************************************** ok: [172.16.60.204] ok: [172.16.60.205] ok: [172.16.60.206] ok: [172.16.60.207] TASK [ssh-copy] ************************************************************************************************************************ changed: [172.16.60.205] changed: [172.16.60.204] changed: [172.16.60.206] changed: [172.16.60.207] PLAY RECAP ***************************************************************************************************************************** 172.16.60.204 : ok=2 changed=1 unreachable=0 failed=0 172.16.60.205 : ok=2 changed=1 unreachable=0 failed=0 172.16.60.206 : ok=2 changed=1 unreachable=0 failed=0 172.16.60.207 : ok=2 changed=1 unreachable=0 failed=0 最後驗證下ssh互信 [root@ansible-server ~]# ansible -i /etc/ansible/hosts ssh-host -m shell -a "whoami" 172.16.60.204 | SUCCESS | rc=0 >> root 172.16.60.205 | SUCCESS | rc=0 >> root 172.16.60.207 | SUCCESS | rc=0 >> root 172.16.60.206 | SUCCESS | rc=0 >> root 至此, ansible批量建立到遠端客戶機的ssh信任關係已經實現了!
3) Ansible批量更新遠端主機使用者密碼方法
方法一: 使用Ansible的user模組批量修改遠端客戶機的使用者密碼
由於在使用ansible修改使用者密碼的時候不能使用明文的方式,需要先加密,所以就需要使用一個方法對輸入的明文的密碼進行加密. 廢話不多說了. 下面直接記錄下操作方法: [root@ansible-server ~]# vim /opt/root_passwd.yaml --- - hosts: ssh-host gather_facts: false tasks: - name: change user passwd user: name={{ item.name }} password={{ item.chpass | password_hash('sha512') }} update_password=always with_items: - { name: 'root', chpass: 'kevin@123' } - { name: 'app', chpass: 'bjop123' } 注意上面在yaml檔案中修改了遠端客戶機的root使用者密碼, app使用者密碼. 如果還想要修改其他使用者密碼, 則繼續按照上面規則新增即可! 執行ansible-play [root@ansible-server ~]# ansible-playbook /opt/root_passwd.yaml PLAY [ssh-host] ************************************************************************************************************************ TASK [change user passwd] ************************************************************************************************************** changed: [172.16.60.204] => (item={u'chpass': u'kevin@123', u'name': u'root'}) changed: [172.16.60.205] => (item={u'chpass': u'kevin@123', u'name': u'root'}) changed: [172.16.60.204] => (item={u'chpass': u'bjop123', u'name': u'app'}) changed: [172.16.60.205] => (item={u'chpass': u'bjop123', u'name': u'app'}) changed: [172.16.60.206] => (item={u'chpass': u'kevin@123', u'name': u'root'}) changed: [172.16.60.206] => (item={u'chpass': u'bjop123', u'name': u'app'}) changed: [172.16.60.207] => (item={u'chpass': u'kevin@123', u'name': u'root'}) changed: [172.16.60.207] => (item={u'chpass': u'bjop123', u'name': u'app'}) PLAY RECAP ***************************************************************************************************************************** 172.16.60.204 : ok=1 changed=1 unreachable=0 failed=0 172.16.60.205 : ok=1 changed=1 unreachable=0 failed=0 172.16.60.206 : ok=1 changed=1 unreachable=0 failed=0 172.16.60.207 : ok=1 changed=1 unreachable=0 failed=0
方法二: 修改遠端主機的單個使用者密碼使用此方法比較方便
編寫playbook檔案 [root@ansible-server ~]# vim /opt/root_passwd2.yaml --- - hosts: ssh-host gather_facts: false tasks: - name: Change password user: name={{ name1 }} password={{ chpass | password_hash('sha512') }} update_password=always 執行ansible-playbook, 使用-e引數傳遞使用者名稱和密碼給劇本,其中root為使用者名稱,admin#123就是修改後的root密碼 [root@ansible-server ~]# ansible-playbook /opt/root_passwd2.yaml -e "name1=root chpass=admin#123" PLAY [ssh-host] ************************************************************************************************************************ TASK [Change password] ***************************************************************************************************************** changed: [172.16.60.204] changed: [172.16.60.205] changed: [172.16.60.206] changed: [172.16.60.207] PLAY RECAP ***************************************************************************************************************************** 172.16.60.204 : ok=1 changed=1 unreachable=0 failed=0 172.16.60.205 : ok=1 changed=1 unreachable=0 failed=0 172.16.60.206 : ok=1 changed=1 unreachable=0 failed=0 172.16.60.207 : ok=1 changed=1 unreachable=0 failed=0
方法三: 使用如下Ansible指令碼, 適用於修改清單中部分遠端主機的使用者密碼
編寫ansible-playbook指令碼 (需要注意下面指令碼中"ens192"是客戶機ip所在的網路卡裝置名稱, 這個要根據自己實際環境去配置, 比如eth0, eth1等) [root@ansible-server ~]# cat /opt/root_passwd4.yaml - hosts: test-host remote_user: root tasks: - name: change password for root shell: echo '{{ item.password }}' |passwd --stdin root when: ansible_ens192.ipv4.address == '{{ item.ip }}' with_items: - { ip: "172.16.60.220", password: 'haha@123' } - { ip: "172.16.60.221", password: 'kevin@123' } - { ip: "172.16.60.222", password: 'bobo@123' } 執行ansible-playbook: [root@ansible-server ansible]# ansible-playbook /opt/root_passwd3.yaml PLAY [ssh-host] ************************************************************************************************************************ TASK [Gathering Facts] ***************************************************************************************************************** ok: [172.16.60.204] ok: [172.16.60.205] ok: [172.16.60.206] ok: [172.16.60.207] TASK [change password for root] ******************************************************************************************************** [WARNING]: when statements should not include jinja2 templating delimiters such as {{ }} or {% %}. Found: ansible_eth0.ipv4.address == '{{ item.ip }}' [WARNING]: when statements should not include jinja2 templating delimiters such as {{ }} or {% %}. Found: ansible_eth0.ipv4.address == '{{ item.ip }}' skipping: [172.16.60.205] => (item={u'ip': u'172.16.60.204', u'password': u'haha@123'}) [WARNING]: when statements should not include jinja2 templating delimiters such as {{ }} or {% %}. Found: ansible_eth0.ipv4.address == '{{ item.ip }}' skipping: [172.16.60.206] => (item={u'ip': u'172.16.60.204', u'password': u'haha@123'}) skipping: [172.16.60.206] => (item={u'ip': u'172.16.60.205', u'password': u'kevin@123'}) [WARNING]: when statements should not include jinja2 templating delimiters such as {{ }} or {% %}. Found: ansible_eth0.ipv4.address == '{{ item.ip }}' skipping: [172.16.60.207] => (item={u'ip': u'172.16.60.204', u'password': u'haha@123'}) skipping: [172.16.60.207] => (item={u'ip': u'172.16.60.205', u'password': u'kevin@123'}) skipping: [172.16.60.207] => (item={u'ip': u'172.16.60.206', u'password': u'bobo@123'}) changed: [172.16.60.205] => (item={u'ip': u'172.16.60.205', u'password': u'kevin@123'}) skipping: [172.16.60.205] => (item={u'ip': u'172.16.60.206', u'password': u'bobo@123'}) changed: [172.16.60.204] => (item={u'ip': u'172.16.60.204', u'password': u'haha@123'}) skipping: [172.16.60.204] => (item={u'ip': u'172.16.60.205', u'password': u'kevin@123'}) skipping: [172.16.60.204] => (item={u'ip': u'172.16.60.206', u'password': u'bobo@123'}) changed: [172.16.60.206] => (item={u'ip': u'172.16.60.206', u'password': u'bobo@123'}) PLAY RECAP ***************************************************************************************************************************** 172.16.60.204 : ok=2 changed=1 unreachable=0 failed=0 172.16.60.205 : ok=2 changed=1 unreachable=0 failed=0 172.16.60.206 : ok=2 changed=1 unreachable=0 failed=0 172.16.60.207 : ok=1 changed=0 unreachable=0 failed=0
如果ansible服務端沒有和遠端主機做ssh信任關係, 則可以在hosts清單配置裡直接指明使用者名稱和密碼. 如果使用普通使用者, 並且允許sudo, 則需要提前在客戶機裡的/etc/sudoers檔案裡配置好該普通使用者的sudo配置, 即允許該普通使用者有sudo許可權. [root@ansible-server ~]# vim /etc/ansible/hosts ................ [test-host] 172.16.60.220 ansible_ssh_user=root ansible_ssh_pass=123456 ansible_ssh_port=22 172.16.60.221 ansible_ssh_user=root ansible_ssh_pass=bo@123 ansible_ssh_port=22 172.16.60.222 ansible_ssh_user=app ansible_ssh_pass=bj@123 ansible_ssh_port=22 ansible_sudo_pass=bj@123 即172.16.60.220客戶機上要提前配置, 允許app使用者具有sudo許可權. 執行: [root@ansible-server ~]# ansible test-host -m shell -a "hostname" 172.16.60.222 | SUCCESS | rc=0 >> k8s-node02 172.16.60.220 | SUCCESS | rc=0 >> k8s-master01 172.16.60.221 | SUCCESS | rc=0 >> k8s-node01 [root@ansible-server ~]# ansible -i /etc/ansible/hosts test-host -m shell -a "hostname" 172.16.60.222 | SUCCESS | rc=0 >> k8s-node02 172.16.60.220 | SUCCESS | rc=0 >> k8s-master01 172.16.60.221 | SUCCESS | rc=0 >> k8s-node01