Alex Sharov
Привет народ!
Подскажите как можно побороть эту напасть:
"Unable to restart service docker: Failed to restart docker.service: Interactive authentication required.\n"
Для пользователя, от которого это запускается команды вида sudo systemctl * docker доступны без пароля
Alex Sharov
Сама же задача выглядит просто
Alex Sharov
- name: Restart docker
become: yes
service:
name: docker
state: restarted
Yuri
Просто предположу, что sudo выполняется не непосредственно при вызове systemctl, а при вызове сформированного ансиблом скрипта
sudo /tmp/....
А на это дело sudo не настроен.
Как быстрый хак я бы использовал shell: 'sudo systemctl docker restart', но это заведомо хреновое решение.
Yuri
А вообще, какой-то диссонанс у меня в голове. Ansible как бы запускается пользователем, который обязан уметь быть рутом. Это ж администрирование все-таки.
Дмитрий
и дыра в безопасности, при таком подходе
Дмитрий
)
Dmitry
вы так говорите, как будто пользователя прямо скомпрометировать так легко
Dmitry
запретить логин по паролю, нафигачить ключей, прописать allow\deny для ссш пользователей
Denis 災 nobody
запретить логин по паролю, нафигачить ключей, прописать allow\deny для ссш пользователей
а как запретить логин по паролю части пользователей (не-руту)?
Denis 災 nobody
сохраняя при этом пароль для sudo того же
R
указать левый шелл
Denis 災 nobody
но с логином по ключам
Denis 災 nobody
а-ля without-password
Max
Try Match in sshd_config:
Match User user1,user2,user3,user4
PasswordAuthentication no
Or by group:
Match Group users
PasswordAuthentication no
Or, as mentioned in the comment, by negation:
Match User !root
PasswordAuthentication no
Denis 災 nobody
о, что надо, спс
Max
а пароли для судо при ключах по моему нафиг не нужны
Denis 災 nobody
если прое..терять ключ, еще уровень защиты
Max
если проебал ключ - на нём стоит пассфраза
Max
и ключи с проёбаных девайсов немедленно должны удаляться с хостов
Denis 災 nobody
в частности, я ключи в дропбоксе храню, а его могут сломать.
Max
не надо так
Max
1 ключ 1 машина
Denis 災 nobody
а подобрать пассфразу на локальном ключе - вопрос времени
Denis 災 nobody
поэтому разные пассфразы и пароль судо
Denis 災 nobody
правильнее тогда уж группировать
Denis 災 nobody
для sudo пароль будет. причём тут ssh?
при том что "убрать пароль с юзера" - не решение
Denis 災 nobody
ну или lock user - который добавит ! перед паролем
Andrey
PasswordAuthentication no для всех по ssh
Andrey
авторизация только по ключам
Max
твоя машина
Max
не сервер
Max
не надо нигде хранить ssh ключи кроме локали
Andrey
а подобрать пассфразу на локальном ключе - вопрос времени
разумеется. их надо менять время от времени
Denis 災 nobody
зачем?
зависит от задач, у меня например много серверов на поддержке, и иногда надо быстро настроить себе рабочее место где придется
SergeyB
Привет народ!
Подскажите как можно побороть эту напасть:
"Unable to restart service docker: Failed to restart docker.service: Interactive authentication required.\n"
Для пользователя, от которого это запускается команды вида sudo systemctl * docker доступны без пароля
в sudoers
Defaults:username !requiretty
Max
а ноут с собой носить не?
Max
при авторизации по ключам пароли для судо нафиг не нужны
Denis 災 nobody
разумеется. их надо менять время от времени
и будет листик с актуальным паролем. Нет, плохой совет. Чаще раза в год - не надо. Тут лучше генераторы одноразовых паролей
Denis 災 nobody
+ постоянный простой пароль
Denis 災 nobody
но без кода он бесполезен
Andrey
зависит от задач, у меня например много серверов на поддержке, и иногда надо быстро настроить себе рабочее место где придется
это дебилизм. админ всегда должен быть со своим ноутом.
Andrey
в конце-концов планшет можно всегда точно с собой таскать
Denis 災 nobody
это дебилизм. админ всегда должен быть со своим ноутом.
ага, уехал я к родственникам на 2 недели и тащить с собой ноут?
Denis 災 nobody
чтобы утопить его
Andrey
подари мне ноут? )
у нас тут вроде как профессиональное сообщество. а ты денис не студент чтобы такое публично завявлять.
Denis 災 nobody
там есть комп
Max
я его купил в 2013 году за 10к
Max
б/у
Max
в чём проблема?
Max
на нём и работаю
R
каждый раз когда поднимается тема ключей начинается какая-то вакханалия =)
Max
ну бля не в дропбоксе же ключи хранить
Andrey
да пиздец
Denis 災 nobody
опять же. Украли ноут. Или заразили шифровальщиком. Прощайте доступы и рабочее место
Andrey
опять же. Украли ноут. Или заразили шифровальщиком. Прощайте доступы и рабочее место
тут поможет только директ-акксесс
Max
НОУТ С ЛИНУКСОМ ЗАРАЗИЛИ ШИФРОВАЛЬЩИКОМ
Max
О___О
Andrey
так или иначе он должен быть предусмотрен
Andrey
ох пизды этому админу
Max
шта
R
ну бля не в дропбоксе же ключи хранить
я храню ключ в дропбоксе. Публичный. Приватный в TrueCrypt =)
Denis 災 nobody
пополздать по порносайтам с дырявым браузером..
Max
ой вей
Max
ок, работай от юзера work
Denis 災 nobody
рута не заразит, юзера может
Max
problem?
Max
sudo su work
Max
и пошёл