разверните ssh ключ от ведущего устройства фавориту через соленые столбы

Question

разверните ssh ключ от ведущего устройства фавориту через соленые столбы

Как защитить сервер на 5 легких шагах:

Создайте резервную копию своего материала.
Не устанавливайте/выполняйте материал, в котором Вы не нуждаетесь.
Сохраните материал, который Вы действительно устанавливаете обновленный.
Наблюдайте свой материал постоянно, чтобы удостовериться, что ничего не происходит с ним.
If^H^HWhen что-то действительно происходит с Вашим материалом, фиксирует его быстро.

11

ssh deployment ssh-keys saltstack

задан Roald Nefs 16 February 2017 в 10:31

Ссылка

2 ответа

Наверное, следует отметить, что по отношению к исходному вопросу существует другое простое решение, если исходный текст : salt://... не работает с файлом . managed - как это все же случилось с saltt-ssh из-за ошибки https://github.com/saltstack/salt/issues/38458, которая с тех пор была исправлена - а именно переключиться на содержимое с внешней опорой дерева файлов, которая также поддерживается файлами на мастере.



В настоящее время file_tree ext_pillar документируется по адресу https://docs.saltstack.com/en/latest/ref/pillar/all/salt.pillar.file_tree.html#module-salt.pillar.file_tree. Он существует с версии 2015.5.0, так что он новее, чем оригинальный вопрос и ответ, но это решение достаточно хорошо доступно сегодня.

Действительно, он также находится в FAQ по адресу https://docs.saltstack.com/en/latest/faq.html#is-it-possible-to-deploy-a-file-to-a-specific-minion-without-other-minions-having-access-to-it


                  0

                  
                  
                     ответ дан 
                     2 December 2019 в 21:51 
                  
                  Ссылка


         
              



      
        Теги
        
         ssh deployment ssh-keys saltstack       

        Похожие вопросы
        
          
                          492 
 Как я говорю Мерзавцу для Windows, где найти мой секретный ключ RSA? - 16 August 2018 22:13 
                            436 
 Как автоматизировать вход в систему SSH с паролем? - 23 August 2013 12:11 
                            378 
 ssh возвращает “Плохого владельца или полномочия на ~/.ssh/config” - 23 June 2017 19:17 
                            293 
 Как я изменяю свой пароль с закрытым ключом? - 12 August 2018 01:59 
                            261 
 Могу я nohup/screen уже запущенный процесс? - 12 June 2009 03:14 
                            252 
 Я могу автоматически добавить новый хост known_hosts? - 2 September 2015 00:40 
                            218 
 Почему я получаю “Разрешение, отклоненное (в открытом ключе)” при попытке к SSH с локальной Ubuntu на сервер Amazon EC2? - 13 July 2009 11:38 
                            196 
 Действительно ли нормально получить сотни попыток взлома в день? - 9 March 2011 14:29 
                            177 
  Сеанс перезапуска Putty и отображение предыдущих видимых данных и пути [дубликат]  - 4 June 2009 17:31 
                            167 
 как отключить вход в систему SSH с паролем для некоторых пользователей? - 4 July 2011 21:43 
                            162 
 Каково различие между authorized_keys и authorized_keys2? - 6 April 2017 16:13 
                            162 
 Каково различие между authorized_keys и authorized_keys2? - 6 April 2017 16:13 
                            158 
  Отображение X-клиентов с хоста Ubuntu на Cygwin через VPN [дубликат]  - 26 May 2011 01:41 
                            154 
 передача ssh-агента и sudo другому пользователю - 1 May 2014 00:08 
                            148 
 “Добавьте корректный ключ хоста known_hosts” / несколько ключей хоста ssh на имя хоста? - 3 August 2016 00:53

score 13 · Accepted Answer · 2 December 2019 в 21:51

The Salt Pillar system does not have an init.sls file. Both states and pillars has a top.sls file. States that are subdirectories may have an init.sls file.

Step 1: Define your users in /srv/pillar/users.sls

users:

  - name: fred
    fullname: Fred Flintstone
    email: fflintstone@slaterockandgravel.com
    uid: 4001
    gid: 4001
    shell: /bin/bash
    groups:
      - bowling
    shadow: $6$Sasdf/Ss$asdfasdfasdfasdfasdfasdfasdfasdfasdfasdfasdfsadfasdfsadfsadfsdf
    authkey: ssh-dss AAAAasdfasdfsadfsadfsadfsadfasdfasdfsdafsdafaasdfasdfasdfasdfasdfsadfsadfsadfsadfasdfasdfsdafsdafaasdfasdfasdfasdfasdfsadfsadfsadfsadfasdfasdfsdafsdafaasdfasdfasdfasdfasdfsadfsadfsadfsadfasdfasdfsdafsdafa = fflinstone@slaterockandgravel.com
    sshpub: ssh-dss AAAAasdfasdfsadfsadfsadfsadfasdfasdfsdafsdafaasdfasdfasdfasdfasdfsadfsadfsadfsadfasdfasdfsdafsdafaasdfasdfasdfasdfasdfsadfsadfsadfsadfasdfasdfsdafsdafaasdfasdfasdfasdfasdfsadfsadfsadfsadfasdfasdfsdafsdafa = fflinstone@slaterockandgravel.com

  - name: barney
    fullname: Barney Rubble
    email: brubbel@slaterockandgravel.com
    uid: 4002
    gid: 4002
    shell: /bin/bash
    groups:
      - bowling
    shadow: $6$Suiop/Ss$uiopuiopuiopuiopuiopuiopuiopuiopuiopuiopuiopsadfuiopsadfsadfsdf
    authkey: ssh-dss AAAAuiopuiopsadfsadfsadfsadfuiopuiopsdafsdafauiopuiopuiopuiopuiopsadfsadfsadfsadfuiopuiopsdafsdafauiopuiopuiopuiopuiopsadfsadfsadfsadfuiopuiopsdafsdafauiopuiopuiopuiopuiopsadfsadfsadfsadfuiopuiopsdafsdafa = fflinstone@slaterockandgravel.com
    sshpub: ssh-dss AAAAuiopuiopsadfsadfsadfsadfuiopuiopsdafsdafauiopuiopuiopuiopuiopsadfsadfsadfsadfuiopuiopsdafsdafauiopuiopuiopuiopuiopsadfsadfsadfsadfuiopuiopsdafsdafauiopuiopuiopuiopuiopsadfsadfsadfsadfuiopuiopsdafsdafa = fflinstone@slaterockandgravel.com

Step 2: Add the new pillar to /srv/pillar/top.sls

base:
  'testminion':
    - users

Step 3: Use jinja to map pillar to states in /srv/salt/user/init.sls

{% for user in pillar['users'] %}
user_{{user.name}}:
  group.present:
    - name: {{user.name}}
    - gid: {{user.gid}}

  user.present:
    - name: {{user.name}}
    - fullname: {{user.fullname}}
    - password: {{user.shadow}}
    - shell: {{user.shell}}
    - uid: {{user.uid}}
    - gid: {{user.gid}}
    {% if user.groups %}
    - optional_groups:
      {% for group in user.groups %}
      - {{group}}
      {% endfor %}
    {% endif %}
    - require:
      - group: user_{{user.name}}

  file.directory:
    - name: /home/{{user.name}}
    - user: {{user.name}}
    - group: {{user.name}}
    - mode: 0751
    - makedirs: True

user_{{user.name}}_forward:
  file.append:
    - name: /home/{{user.name}}/.forward
    - text: {{user.email}}

user_{{user.name}}_sshdir:
  file.directory:
    - name: /home/{{user.name}}/.ssh
    - user: {{user.name}}
    - group: {{user.name}}
    - mode: 0700

{% if 'authkey' in user %}
user_{{user.name}}_authkeys:
  ssh_auth.present:
    - user: {{user.name}}
    - name: {{user.authkey}}
{% endif %}

{% if 'sshpriv' in user %}
user_{{user.name}}_sshpriv:
  file.managed:
    - name: /home/{{user.name}}/.ssh/id_rsa
    - user: {{user.name}}
    - group: {{user.name}}
    - mode: 0600
    - contents_pillar: {{user.sshpriv}}
{% endif %}

{% if 'sshpub' in user %}
user_{{user.name}}_sshpub:
  file.managed:
    - name: /home/{{user.name}}/.ssh/id_rsa.pub
    - user: {{user.name}}
    - group: {{user.name}}
    - mode: 0600
    - contents_pillar: {{user.sshpub}}
{% endif %}
{% endfor %} # user in users
# vim: ft=yaml tabstop=2 sts=2 sw=2 et ai si

Don't forget to sync the minions with the new pillars!

salt targetminions saltutil.refresh_pillar