Me dieron un manual de estrategias de Ansible cuyo objetivo es proteger con contraseña un archivo zip. (Parte de) el libro de jugadas se ve así:
- name: Create and encrypt zipfile
vars:
zipPW: !vault |
$ANSIBLE_VAULT;1.1;AES256
64656637643264313764633665363234393239346230643936393864313337313030613461326639
3538303634303365373637633761306133333266393331630a336436383534323264376537653564
32393162353730373335303733663463333764616438643762653330616431353162326238663564
3163306336313931660a313530343935643366663433346231386638353932313936366538643664
shell: "zip -jr /tmp/pit/{{hostvars[inventory_hostname]['gzipoutfile']['stdout']}}.zip /tmp/pit/{{hostvars[inventory_hostname]['gzipoutfile']['stdout']}} -P {{zipPW}}"
register: zipped
- debug:
msg: "{{zipped}}
Entonces están intentando pasar la contraseña de la bóveda al comando zip para la opción -P.
Parece que esto no funciona. Al ejecutar el libro de jugadas, obtengo:
"Attempting to decrypt but no vault secrets found"}
Hasta donde tengo entendido, esto significa que debo proporcionar una contraseña para poder usar la contraseña de la bóveda, pero podría estar equivocado. Tener que proporcionar una contraseña parece inútil si quieres automatizar las cosas. Si pongo la contraseña en un archivo, soy tan vulnerable como cuando no cifro con contraseña el archivo zip.
¿Es posible esta forma de intentar utilizar una contraseña de bóveda?
Respuesta1
Ansible tienevarias maneraspara proporcionar la contraseña de la bóveda.
- archivos: pueden protegerse mediante permisos del sistema de archivos
- scripts: puede acceder a otras bóvedas, decodificar/descifrar la contraseña de la bóveda almacenada en otro lugar
Pero todo se reduce al mismo problema: en algún momento es necesario proporcionar algo para descifrar la contraseña, lo que dificulta los procesos de automatización. Depende de usted decidir dónde desea almacenar un secreto de texto sin formato para descifrar las contraseñas de la bóveda.