zip 파일을 비밀번호로 보호하는 것을 목표로 하는 Ansible 플레이북을 받았습니다. (일부) 플레이북은 다음과 같습니다.
- name: Create and encrypt zipfile
vars:
zipPW: !vault |
$ANSIBLE_VAULT;1.1;AES256
64656637643264313764633665363234393239346230643936393864313337313030613461326639
3538303634303365373637633761306133333266393331630a336436383534323264376537653564
32393162353730373335303733663463333764616438643762653330616431353162326238663564
3163306336313931660a313530343935643366663433346231386638353932313936366538643664
shell: "zip -jr /tmp/pit/{{hostvars[inventory_hostname]['gzipoutfile']['stdout']}}.zip /tmp/pit/{{hostvars[inventory_hostname]['gzipoutfile']['stdout']}} -P {{zipPW}}"
register: zipped
- debug:
msg: "{{zipped}}
그래서 그들은 -P 옵션에 대한 zip 명령에 볼트 암호를 전달하려고 합니다.
이것은 작동하지 않는 것 같습니다. 플레이북을 실행하면 다음을 얻습니다.
"Attempting to decrypt but no vault secrets found"}
제가 Ansible Vault를 이해하는 한 이는 Vault 비밀번호를 사용하려면 비밀번호를 제공해야 하지만 틀릴 수도 있음을 의미합니다. 일을 자동화하려는 경우 비밀번호를 제공하는 것은 쓸모가 없어 보입니다. 비밀번호를 파일에 넣으면 zip 파일을 비밀번호로 암호화하지 않을 때와 마찬가지로 취약합니다.
볼트 비밀번호를 사용하는 이런 방법이 가능합니까?
답변1
앤서블은다양한 방법볼트 비밀번호를 제공합니다.
- 파일 - 파일 시스템 권한으로 보호할 수 있습니다.
- 스크립트 - 다른 저장소에 액세스할 수 있고, 다른 곳에 저장된 저장소 비밀번호를 해독/복호화할 수 있습니다.
그러나 모두 동일한 문제로 귀결됩니다. 어떤 시점에서는 비밀번호를 해독하기 위한 무언가를 제공해야 하므로 자동화 프로세스가 어려워집니다. 볼트 비밀번호를 해독하기 위해 일반 텍스트 비밀을 저장할 위치를 결정하는 것은 귀하에게 달려 있습니다.