он тебе и пишет ошибку "Bad tun device"

что удивительного-то

Сейчас прописано: Host host1 Hostname 10.42.71.71 User root Host host2 Hostname 10.42.68.133 User root ProxyCommand ssh px nc %h %p host1 2>/dev/null

ииии?

ssh_exchange_identification: Connection closed by remote host

nc (он же netcat) стоит на прокси-хосте?

воу-воу

стоп

ProxyCommand ssh px nc %h %p host1 2>/dev/null поменять на ProxyCommand ssh host1 nc %h %p 2>/dev/null

у меня просто прокси называется px :)

у меня ncat стоит

Host host1 Hostname 10.42.71.71 User root Host host2 Hostname 10.42.68.133 User root ProxyCommand ssh host1 nc %h %p 2>/dev/null

ошибка таже

а ты на host2 тоже под root ходишь?

[root@host3 ssh]# ssh host2 ssh_exchange_identification: Connection closed by remote host

агент включен? Форвард разрешён на сервере?

А там агент особо не нужен

Главное, чтобы доступ по ключам был

на host2 я могу попасть только с host1.

А там агент особо не нужен

действительно? )

как проверить?

что за агент?

действительно? )

эммм... ну да :)

ssh-agent

Хотя... фиг знает. Но у меня умолчальные конфиги вполне работают

для начала попробуй ssh -At host1, оттеда ssh -At host2 и так далее

просто ручками

потом этим девопсам "админы не нужны", а сами не могут через proxy command попасть и с туннелированием портов путают :)

быгыгы

Так.. пжжи. У тебя есть тачка с ансиблом, ты туда попадаешь, так? Тебе надо с тачки с ансиблом попасть на целевую тачку, так? Значит, либо у тебя включен ssh-agent, туда добавлен твой ключ и на машине с ансиблом и на целевой тачке лежит публичная часть ключа. Либо у тебя на машине с ансиблом свой секретный ключ и на целевой тачке лежит его публичная часть.

когда нельзя дождаться, пока безопасники откроют порты/организуют доступ - так вот всегда кончается какими-то дикими костылями

без документации

потому что это "временное решение"

🚑

когда нельзя дождаться, пока безопасники откроют порты/организуют доступ - так вот всегда кончается какими-то дикими костылями

почему нельзя дождаться?

не знаю у Viktor спроси

вот когда люди через бастионы по другим тачкам прыгают мне всегда интересно зачем?

вопрос не в чатик конечно, но остается не понятным

я понимаю что это бредовая задумка

но пока подругому никак

а ты с удаленного сервера ходишь на другой сервер через бастион, так?

да

да

из под рута?

да

а ключ рута добавлен на остальных тачках?

ага

на бастион ты можешь зайти напрямую?

бастион подразумевается сервер между двумя хостами?

да

тогда могу

напрямую не могу с 1 хоста на конечный попасть

окей а с бастиона на конечный хост попасть можешь?

>> поставить бастион > обходить бастион чтобы управлять серверами

с бастиона могу

Там все горздо хитрее... у него при входе по ключам: ''' debug3: Not a RSA1 key file /root/.ssh/id_rsa. debug2: key_type_from_name: unknown key type '-----BEGIN' debug3: key_read: missing keytype debug3: key_read: missing whitespace ... debug2: key_type_from_name: unknown key type '-----END' debug3: key_read: missing keytype '''

Там все горздо хитрее... у него при входе по ключам: ''' debug3: Not a RSA1 key file /root/.ssh/id_rsa. debug2: key_type_from_name: unknown key type '-----BEGIN' debug3: key_read: missing keytype debug3: key_read: missing whitespace ... debug2: key_type_from_name: unknown key type '-----END' debug3: key_read: missing keytype '''

не ну если с бастиона может, то все ок так то.

приветсву, ansible 2.2.1, подключение под рутом, неотрабатывает become на непривелегировнаного пользователя http://paste.openstack.org/show/604494/ , сталкивался кто- либо? Баги вроде не вижу(по крайней мере не могу найти)

не ну если с бастиона может, то все ок так то.

тогда я его схемы не понял ни фига :)

подозреваю что ключ для рута на конечной тачке стоит с бастиона.

О! я об этом как-то не думал

но это будет работать только в том случае если форвард не насторен да

но хрен знает. при таком лютом отсутствии инфы вполне возможно что так оно и есть

потому что это единственное что приходит в голову: 1. не работает агент 2. не правильные ключи в округе

приветсву, ansible 2.2.1, подключение под рутом, неотрабатывает become на непривелегировнаного пользователя http://paste.openstack.org/show/604494/ , сталкивался кто- либо? Баги вроде не вижу(по крайней мере не могу найти)

вы become на уровне play пробовали?

да

тоже самое

[privilege_escalation] become=Falsewtf?

[privilege_escalation] become=Falsewtf?

и? ты можешь глобально назначить одно а потом переопределять для таска или плэя

[privilege_escalation] become=Falsewtf?

кстати- пробовал и глобально become прописать- тоже все под рутом в итоге

$ cat test.yml --- - hosts: all tasks: - name: test shell: id become: yes become_user: kibana $ ansible-playbook -vv -i inventory/vsk/test.hosts test.yml Using /home/tech_user_elog/repos/ELOG/ansible.cfg as config file PLAYBOOK: test.yml ************************************************************* 1 plays in test.yml PLAY [all] ********************************************************************* TASK [setup] ******************************************************************* ok: [elog-omega] TASK [test] ******************************************************************** task path: /home/tech_user_elog/repos/ELOG/test.yml:4 changed: [elog-omega] => {"changed": true, "cmd": "id", "delta": "0:00:00.004620", "end": "2017-03-28 18:30:30.833190", "rc": 0, "start": "2017-03-28 18:30:30.828570", "stderr": "", "stdout": "uid=993(kibana) gid=991(kibana) groups=991(kibana) context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023", "stdout_lines": ["uid=993(kibana) gid=991(kibana) groups=991(kibana) context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023"], "warnings": []} PLAY RECAP ********************************************************************* elog-omega : ok=2 changed=1 unreachable=0 failed=0 $ ansible --version ansible 2.2.1.0

правда, я не подключался рутом наверно, у тебя действительно баг, и никто его не нашел потому что никто не подключается рутом

приветсву, ansible 2.2.1, подключение под рутом, неотрабатывает become на непривелегировнаного пользователя http://paste.openstack.org/show/604494/ , сталкивался кто- либо? Баги вроде не вижу(по крайней мере не могу найти)

become_method: su

ну смешно )

ну смешно )

что именно смешно? sudo тоже толку ноль, а pipelining = True c sudo- просят зависимость sudo от tty вырубать, чего делать не хочется

ага, я поторопился. если с sudo толку ноль, то покажи cat root/ansible/hosts - нет ли там ansible_user=root?

изначлаьно написано, что запускается по рутом

ну а если become_user писать в другом месте - пробовал?

ага, я поторопился. если с sudo толку ноль, то покажи cat root/ansible/hosts - нет ли там ansible_user=root?

спасибо з анаводку на hosts- я дурак- у меня там было ansible_become=false- убрал - заработало

- hosts: "dev-backend" any_errors_fatal: yes gather_facts: yes become: true become_method: su become_user: postgres tasks: - name: "test" shell: "id"