MO
т.к. ты notify вызываешь много раз, handler смотрит, и зачем постоянно например рестартовать, если я могу сделать изменения и сделать 1 раз
теперь ясно, спасибо :)
Size: a a a
2019 February 07
👍🏻
YG
по ansible попутно вопрос - есть 10 серверов, SSH доступ разрешен только для лимитированного юзера и только по ключам, нужно обновить систему из-под привилигерованного юзера (можно root), в конфигах в открытом виде нельзя держать пароль, руками вводить все 10 не вариант. Можно что-то сделать, что бы все бновлялось без ввода паролей, паролей в открытом виде?
Became: yes
по ansible попутно вопрос - есть 10 серверов, SSH доступ разрешен только для лимитированного юзера и только по ключам, нужно обновить систему из-под привилигерованного юзера (можно root), в конфигах в открытом виде нельзя держать пароль, руками вводить все 10 не вариант. Можно что-то сделать, что бы все бновлялось без ввода паролей, паролей в открытом виде?
Ansible vault
DK
по ansible попутно вопрос - есть 10 серверов, SSH доступ разрешен только для лимитированного юзера и только по ключам, нужно обновить систему из-под привилигерованного юзера (можно root), в конфигах в открытом виде нельзя держать пароль, руками вводить все 10 не вариант. Можно что-то сделать, что бы все бновлялось без ввода паролей, паролей в открытом виде?
sudo тебе в помощь )
Либо юзать Vault от Hashicorp
Если есть гитлаб, то secret variable
Или протектед бранча
Ну или захаркодить) что не есть хорошо
DK
Ansible vault
почитал вполне хорошее решение
C
Из hashicorp годный только key value engine. Остальные cert или database немного про другое чем кажутся
YG
Denis Konarev
sudo тебе в помощь )
Я так и сделал - создал лимит юзера, дал права на апдейт.
Ты про это, типа (ALL)=ALL ?
Ты про это, типа (ALL)=ALL ?
DK
Я так и сделал - создал лимит юзера, дал права на апдейт.
Ты про это, типа (ALL)=ALL ?
Ты про это, типа (ALL)=ALL ?
Нет, не обязательно, как раз таки только права на команду или скрипт yum update
YG
Слушай, а если нужно например заинсталлить что-то, например LAMP + конфиги создать?
YG
Или заинсталлить selinux политики из файла шаблона?
YG
Так же команды разрешить?
DK
можно разрешить просто выполенение определённых комманд, я так к примеру делал в /etc/sudoers: admin ALL=NOPASSWD:/bin/traceroute
C
Слушай, а если нужно например заинсталлить что-то, например LAMP + конфиги создать?
ты же говоришь что можно от root. Т.е. ты запускаешь плейбук из под не привелегированного пользователя. но указываешь что для вот этого таска стать sudo пользователем - это
become: yes.
Можешь так же сказать что эту команду нужно выполнить из под www-data к примеру. Тогда это
become:yes
become_user: www-data
become: yes.
Можешь так же сказать что эту команду нужно выполнить из под www-data к примеру. Тогда это
become:yes
become_user: www-data
C
как то так. на память писал