вопрос не в чатик конечно, но остается не понятным

я понимаю что это бредовая задумка

но пока подругому никак

а ты с удаленного сервера ходишь на другой сервер через бастион, так?

да

да

из под рута?

да

а ключ рута добавлен на остальных тачках?

ага

на бастион ты можешь зайти напрямую?

бастион подразумевается сервер между двумя хостами?

да

тогда могу

напрямую не могу с 1 хоста на конечный попасть

окей а с бастиона на конечный хост попасть можешь?

>> поставить бастион > обходить бастион чтобы управлять серверами

с бастиона могу

Там все горздо хитрее... у него при входе по ключам: ''' debug3: Not a RSA1 key file /root/.ssh/id_rsa. debug2: key_type_from_name: unknown key type '-----BEGIN' debug3: key_read: missing keytype debug3: key_read: missing whitespace ... debug2: key_type_from_name: unknown key type '-----END' debug3: key_read: missing keytype '''

Там все горздо хитрее... у него при входе по ключам: ''' debug3: Not a RSA1 key file /root/.ssh/id_rsa. debug2: key_type_from_name: unknown key type '-----BEGIN' debug3: key_read: missing keytype debug3: key_read: missing whitespace ... debug2: key_type_from_name: unknown key type '-----END' debug3: key_read: missing keytype '''

не ну если с бастиона может, то все ок так то.

приветсву, ansible 2.2.1, подключение под рутом, неотрабатывает become на непривелегировнаного пользователя http://paste.openstack.org/show/604494/ , сталкивался кто- либо? Баги вроде не вижу(по крайней мере не могу найти)

не ну если с бастиона может, то все ок так то.

тогда я его схемы не понял ни фига :)

подозреваю что ключ для рута на конечной тачке стоит с бастиона.

О! я об этом как-то не думал

но это будет работать только в том случае если форвард не насторен да

но хрен знает. при таком лютом отсутствии инфы вполне возможно что так оно и есть

потому что это единственное что приходит в голову: 1. не работает агент 2. не правильные ключи в округе

приветсву, ansible 2.2.1, подключение под рутом, неотрабатывает become на непривелегировнаного пользователя http://paste.openstack.org/show/604494/ , сталкивался кто- либо? Баги вроде не вижу(по крайней мере не могу найти)

вы become на уровне play пробовали?

да

тоже самое

[privilege_escalation] become=Falsewtf?

[privilege_escalation] become=Falsewtf?

и? ты можешь глобально назначить одно а потом переопределять для таска или плэя

[privilege_escalation] become=Falsewtf?

кстати- пробовал и глобально become прописать- тоже все под рутом в итоге

$ cat test.yml --- - hosts: all tasks: - name: test shell: id become: yes become_user: kibana $ ansible-playbook -vv -i inventory/vsk/test.hosts test.yml Using /home/tech_user_elog/repos/ELOG/ansible.cfg as config file PLAYBOOK: test.yml ************************************************************* 1 plays in test.yml PLAY [all] ********************************************************************* TASK [setup] ******************************************************************* ok: [elog-omega] TASK [test] ******************************************************************** task path: /home/tech_user_elog/repos/ELOG/test.yml:4 changed: [elog-omega] => {"changed": true, "cmd": "id", "delta": "0:00:00.004620", "end": "2017-03-28 18:30:30.833190", "rc": 0, "start": "2017-03-28 18:30:30.828570", "stderr": "", "stdout": "uid=993(kibana) gid=991(kibana) groups=991(kibana) context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023", "stdout_lines": ["uid=993(kibana) gid=991(kibana) groups=991(kibana) context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023"], "warnings": []} PLAY RECAP ********************************************************************* elog-omega : ok=2 changed=1 unreachable=0 failed=0 $ ansible --version ansible 2.2.1.0

правда, я не подключался рутом наверно, у тебя действительно баг, и никто его не нашел потому что никто не подключается рутом

приветсву, ansible 2.2.1, подключение под рутом, неотрабатывает become на непривелегировнаного пользователя http://paste.openstack.org/show/604494/ , сталкивался кто- либо? Баги вроде не вижу(по крайней мере не могу найти)

become_method: su

ну смешно )

ну смешно )

что именно смешно? sudo тоже толку ноль, а pipelining = True c sudo- просят зависимость sudo от tty вырубать, чего делать не хочется

ага, я поторопился. если с sudo толку ноль, то покажи cat root/ansible/hosts - нет ли там ansible_user=root?

изначлаьно написано, что запускается по рутом

ну а если become_user писать в другом месте - пробовал?

ага, я поторопился. если с sudo толку ноль, то покажи cat root/ansible/hosts - нет ли там ansible_user=root?

спасибо з анаводку на hosts- я дурак- у меня там было ansible_become=false- убрал - заработало

- hosts: "dev-backend" any_errors_fatal: yes gather_facts: yes become: true become_method: su become_user: postgres tasks: - name: "test" shell: "id"

?? okay

в ansible inventory ssh, как-то можно добавить passphrase?

Почему бы просто не сделать для ansible отдельный ключ? К чему эти превозмогания?

в ansible inventory ssh, как-то можно добавить passphrase?

ansible_ssh_pass ansible_become_pass (from docs)

День добрый. может ктото подсказать как в when проверить такое условие: when: ansible_fqdn in keycdn_server Хочу что бы при указании лимита на плейбук, для каких хостов выполнят плейбку, в тасках было условие, какой сервер такой и таск.

а чем не устраивает группа в инвентори?

День добрый. может ктото подсказать как в when проверить такое условие: when: ansible_fqdn in keycdn_server Хочу что бы при указании лимита на плейбук, для каких хостов выполнят плейбку, в тасках было условие, какой сервер такой и таск.

Добрый, а вот прямо как вы написали не работает?

подумал и не написал. в итвентори есть группа [kyecdn_server] keycdn.server.com но вот мой when падает fatal: [keycdn.server.com]: FAILED! => {"failed": true, "msg": "The conditional check 'ansible_fqdn in keycdn_server' failed. The error was: error while evaluating conditional (ansible_fqdn in keycdn_server): Unable to look up a name or access an attribute in template string ({% if ansible_fqdn in keycdn_server %} True {% else %} False {% endif %}).\nMake sure your variable name does not contain invalid characters like '-': argument of type 'StrictUndefined' is not iterable\n\nThe error appears to have been in '/usr/local/repository/44/roles/keycdn/tasks/main.yml': line 3, column 3, but may\nbe elsewhere in the file depending on the exact syntax problem.\n\nThe offending line appears to be:\n\n\n- name: install nfs-kernel-server on keycdn server\n ^ here\n"}

ошибка в сообщении выше

Тут два варианта, либо так как вы писали изначально, но второй параметр должен быть список, либо как вам советовали с группами, и тогда надо делать проверку в группе ли хост

а можете пример на пальцах показать?

Igor ansible_ssh_pass это точно не то

ansible_become_pass тоже не работает

when: keycdn_server is defined

если переменная keycdn_server есть - task выполнится, если нету - дальше пойдет. это нужно?

у меня вроде получислось есть переменная group_names и я делаю проверку when: '"keycdn_server" in group_names' keycdn_server это группа; group_names принимает значение группы в которой хост находится в инвентарях. если значение совпали значит таск выполняется. и это будет однозначно хост из группы keycdn

when: keycdn_server in groups['kyecdn_server']

хех ключ приватный не находил, ввел пароль ansible_ssh_pass прошел но висит почему то в таск setup

хрень какая-то через ssh проходит а ansible нет, вводу passphrase на ssh окай все, ансибл тупит

-vvvvv сделай и покажи чего пишет

Use ANSIBLE_DEBUG=1 to see detailed information

ток пока что не понял куда прописать это

ERROR: S client not available

ssh-add пробовал?

ssh-add?

а, туплю

у меня через ssh обычный работает, могу зайти

то есть он поннектиться и просит уже passphrase

я его ввожу и он воротит носом, что не правильный или что

через обычный ssh, тоже самое делаю, вводу passphrase и все окай я попал на тачку

а, он просит уже... хм... поиграй ключем -c. между pamarico или как его там и openssh

помогите

я подойду через часик, надо идти

спасибо

:facepalm:

в чем facepalm? что мне надо идти?

Igor ansible_ssh_pass это точно не то

у меня работает

покажите inventory

и в этом тоже

Кстати, а ansible уже выпилил сторонний враппер для ввода паролей, который не обновляется около пяти лет?

Непонятно. Зачем вбивать туда пассфразу от ключа? Если уж вбивать креденшлы - так уж сразу логин и пароль. А пассфразу от ключа должен хранить ssh-agent

Кстати, а ansible уже выпилил сторонний враппер для ввода паролей, который не обновляется около пяти лет?

ansible-vault?

хех ключ приватный не находил, ввел пароль ansible_ssh_pass прошел но висит почему то в таск setup

поиграйся с опциями ssh для ansible, если у тебя медленное соединение или dns на ssh не резолвится - впиши опцию, которая отключает "быстрый ssh"

Непонятно. Зачем вбивать туда пассфразу от ключа? Если уж вбивать креденшлы - так уж сразу логин и пароль. А пассфразу от ключа должен хранить ssh-agent

Потому что у этого парня вопросы всегда один круче другого...

Потому что у этого парня вопросы всегда один круче другого...

это ещё от меня вопросов не было

самоирония это прекрасно

чуваки

а кто-нить думал о том как сделать ansible на серверах с 2хфакторной авторизацией

отдельный юзер, имхо. ключ спрятать чтоб не нашли. Запускать через какой-нибудь rundeck, чтоб аудит действий был

В чем проблема? Купить лего mindstorm, собрать из него робота который держит мобильный телефон, натянуть человеческую кожу чтобы реагировала на нажатие в экран, прикрутить чип компьютерного зрения, написать прожку на opencv чтобы распознавала код в смс, купить тестовую симку, и накодить на питоне модуль который получает код и вводит его при логине на сервер.

В чем проблема? Купить лего mindstorm, собрать из него робота который держит мобильный телефон, натянуть человеческую кожу чтобы реагировала на нажатие в экран, прикрутить чип компьютерного зрения, написать прожку на opencv чтобы распознавала код в смс, купить тестовую симку, и накодить на питоне модуль который получает код и вводит его при логине на сервер.

Да. Всегда так делаю

вот вы смеетесь, а у меня коллеги на работе держат логи в оракле и написали вебморду, чтобы оттуда их доставать удобнее было

а другие коллеги пишут логи на винде в файл, используя маковский перевод строки (/r) и кодировку cp866

а где интрига?