新年明けましておめでとうございます!!!😜
2018年もよろしくお願い致します。

新年一発目のブログは!?
同僚の岡田あすみ

「Wordpressぶっ壊れたので、あだちんさん構築お願いできませんか♡」

ぶっ壊れたとか何事!?
さっさっとansibleコード書いてubuntuに当てたら
出落ち並にハンパないエラー出たのでブログします。


■Error

元々baseパッケージを使いたいため、gitやらvimなどなどインストールを始めに行っているのですが、
そこでまずエラーが出てる状態。(完全に出落ち)
エラー見ると

「/var/lib/dpkgにパッケージインストールしてもいいんだけど、あんたホントにrootなん?」

と疑ってる様子。
ちなみに実行ユーザはsudoパスなしでrootになれるからrootだバカヤローと言いたいところ。
–ask-sudo-pass付けても同様。


■ansible become

http://docs.ansible.com/ansible/latest/become.html

Ansible 2.0.x and below has a limitation with regards to becoming an unprivileged user that can be a security risk if users are not aware of it. Ansible modules are executed on the remote machine by first substituting the parameters into the module file, then copying the file to the remote machine, and finally executing it there.

Everything is fine if the module file is executed without using become, when the become_user is root, or when the connection to the remote machine is made as root. In these cases the module file is created with permissions that only allow reading by the user and root.

The problem occurs when the become_user is an unprivileged user. Ansible 2.0.x and below make the module file world readable in this case, as the module file is written as the user that Ansible connects as, but the file needs to be readable by the user Ansible is set to become.

・訳)

Ansible 2.0.x以下には、ユーザーがそれを認識していない場合にセキュリティ上のリスクとなり得る非特権ユーザーになることに関して制限があります。パラメータをモジュールファイルに代入からファイルをリモートマシンにコピーし、最後に実行することによってリモートマシン上で実行可能なモジュールが実行されます。

モジュールファイルがbecomeを使わずに実行された場合、become_userがrootの場合リモートマシンへの接続がrootとして行われた場合はすべて問題ありません。このような場合モジュールファイルはユーザーとrootによる読み取りのみを許可する権限で作成されます。

この問題はbecome_userが特権のないユーザーである場合に発生します。 Ansible2.0.x以下でモジュールファイルはAnsibleが接続するユーザーとして書き込まれますが、ユーザーが読み取り可能にする必要があります。

デフォルトでrootユーザにパスワード認証のログインができない!
つまりPlaybookを実行時にroot権限が必要なPlaybookが実行できない場合がある。
なので!対処方として、

・一般ユーザで接続からのsudoを利用してroot 権限を実行→◎
・root ユーザの公開鍵認証を登録し、root ユーザでログインできるようにする→☓(DANGER)

ということはymlbecome: trueが入っていないのでは??


■server01.yml

うむ!漏れだったw
正しくは


■確認

 😅


■まとめ

一瞬で気づいてヨカタ。
岡田あすみwordpressは構築終わったのでデザイン待ち。

The following two tabs change content below.

あだちん

1989年生まれ。 Infra Engineer(SRE) In Shibuya 2013年新卒に自宅サーバを構築し、この技術ブログを立ち上げたが、 2017年に電源が壊れConoHaにリプレイスした。 好きな構成管理ツールはAnsible,Terraform。 インフラならAWS/Docker。言語はPython。 WEBサーバならH2O。そして「脆弱性スキャナVuls」のOSS活動もしており、VulsRepo init fileのコミッターでもある。VulsのためにGolangと格闘中でエバンジェリストに任命!?HIPHOPが好きすぎてTrack Makerでもある。

コメントを残す