Recebi um manual do Ansible que visa proteger com senha um arquivo zip. (Parte do) manual é assim:
- name: Create and encrypt zipfile
vars:
zipPW: !vault |
$ANSIBLE_VAULT;1.1;AES256
64656637643264313764633665363234393239346230643936393864313337313030613461326639
3538303634303365373637633761306133333266393331630a336436383534323264376537653564
32393162353730373335303733663463333764616438643762653330616431353162326238663564
3163306336313931660a313530343935643366663433346231386638353932313936366538643664
shell: "zip -jr /tmp/pit/{{hostvars[inventory_hostname]['gzipoutfile']['stdout']}}.zip /tmp/pit/{{hostvars[inventory_hostname]['gzipoutfile']['stdout']}} -P {{zipPW}}"
register: zipped
- debug:
msg: "{{zipped}}
Então, eles estão tentando passar a senha do cofre para o comando zip para a opção -P.
Isso não parece funcionar. Ao executar o manual, recebo:
"Attempting to decrypt but no vault secrets found"}
Pelo que entendi do Ansible Vault, isso significa que preciso fornecer uma senha para poder usar a senha do Vault, mas posso estar errado. Ter que fornecer uma senha parece inútil se você deseja automatizar as coisas. Se eu colocar a senha em um arquivo, ficarei tão vulnerável quanto quando não criptografaria com senha o arquivo zip.
Essa maneira de tentar usar uma senha do cofre é possível?
Responder1
Ansible temvárias maneiraspara fornecer a senha do cofre.
- arquivos - podem ser protegidos por permissões do sistema de arquivos
- scripts - podem acessar outros cofres, decodificar/descriptografar a senha do cofre armazenada em outro lugar
Mas tudo se resume ao mesmo problema, em algum momento é necessário fornecer algo para descriptografar a senha, o que dificulta a automação dos processos. Cabe a você decidir onde deseja armazenar um segredo de texto simples para descriptografar as senhas do cofre.