Ansible批量更新远程主机用户密码 (包括Ansible批量做ssh互信)

按照集团运维信息安全制度, 需要每个一段时间对线上服务器密码进行一次变更,通过shell脚本部署比较繁琐,所以决定采用ansible脚本对远程主机root密码进行批量重置,该脚本已经在稳定运行在正式环境下。具体方法如下:

1) 在服务端安装ansible

[root@ansible-server ~]# yum install -y ansible

2) 配置ansible到远程主机的ssh无密码信任关系 (authoried_keys 模块)

批量实现多台服务器之间ssh无密码登录的相互信任关系, 可以参考之前的文章:  https://www.cnblogs.com/kevingrace/p/9063745.html
这里采用Ansible 实现批量建立互信, 方法如下:首先要生成ansible服务端本机ssh的key 
[root@ansible-server ~]# ssh-keygen -t rsa          //一路回车
[root@ansible-server ~]# ls /root/.ssh/
id_rsa  id_rsa.pub ====================================================
需要注意ssh建立互信的命令格式:
# ssh-copy-id -i ~/.ssh/id_rsa.pub username@[ip,hostname]
====================================================在客户机比较多的情况下,使用 ssh-copy-id命令的方法显然是有些费时,使用ansible-playbook 推送 ymal进行批量创建ssh互信关系就显得省事多了,
这里就使用到了ansible的authoried_keys 模块: 首先要配置ansible清单 (远程主机的密码这里为"123456")
[root@ansible-server ~]# vim /etc/ansible/hosts
................
................
[ssh-host]
172.16.60.204
172.16.60.205
172.16.60.206
172.16.60.207[ssh-host:vars]
ansible_ssh_pass="123456"==========================================================
发送公钥到目标机器命令格式如下:
# ansible ssh-host -m copy -a "src=/root/.ssh/id_rsa.pub dest=/root/.ssh/authorized_keys mode=600"
==========================================================编写playbook文件
[root@ansible-server ~]# vim /opt/ssh_key.yaml
---- hosts: ssh-hostuser: roottasks:- name: ssh-copyauthorized_key: user=root key="{{ lookup('file', '/root/.ssh/id_rsa.pub') }}"注意上面yaml脚本中的"ssh-key-host"是在/etc/ansible/hosts清单文件里配置的远程客户机列表
这里做的是基于远程主机root用户的ssh互信执行批量互信
[root@ansible-server ~]# ansible-playbook /opt/ssh_key.yamlPLAY [ssh-host] ************************************************************************************************************************TASK [Gathering Facts] *****************************************************************************************************************
ok: [172.16.60.204]
ok: [172.16.60.205]
ok: [172.16.60.206]
ok: [172.16.60.207]TASK [ssh-copy] ************************************************************************************************************************
changed: [172.16.60.205]
changed: [172.16.60.204]
changed: [172.16.60.206]
changed: [172.16.60.207]PLAY RECAP *****************************************************************************************************************************
172.16.60.204              : ok=2    changed=1    unreachable=0    failed=0   
172.16.60.205              : ok=2    changed=1    unreachable=0    failed=0   
172.16.60.206              : ok=2    changed=1    unreachable=0    failed=0   
172.16.60.207              : ok=2    changed=1    unreachable=0    failed=0最后验证下ssh互信
[root@ansible-server ~]# ansible -i /etc/ansible/hosts ssh-host -m shell -a "whoami"
172.16.60.204 | SUCCESS | rc=0 >>
root172.16.60.205 | SUCCESS | rc=0 >>
root172.16.60.207 | SUCCESS | rc=0 >>
root172.16.60.206 | SUCCESS | rc=0 >>
root至此, ansible批量创建到远程客户机的ssh信任关系已经实现了!

3) Ansible批量更新远程主机用户密码方法

方法一: 使用Ansible的user模块批量修改远程客户机的用户密码

由于在使用ansible修改用户密码的时候不能使用明文的方式,需要先加密,所以就需要使用一个方法对输入的明文的密码进行加密.
废话不多说了. 下面直接记录下操作方法:[root@ansible-server ~]# vim /opt/root_passwd.yaml
---- hosts: ssh-hostgather_facts: falsetasks:- name: change user passwduser: name={{ item.name }} password={{ item.chpass | password_hash('sha512') }}  update_password=alwayswith_items:- { name: 'root', chpass: 'kevin@123' }- { name: 'app', chpass: 'bjop123' }注意上面在yaml文件中修改了远程客户机的root用户密码, app用户密码. 
如果还想要修改其他用户密码, 则继续按照上面规则添加即可!执行ansible-play
[root@ansible-server ~]# ansible-playbook /opt/root_passwd.yaml PLAY [ssh-host] ************************************************************************************************************************TASK [change user passwd] **************************************************************************************************************
changed: [172.16.60.204] => (item={u'chpass': u'kevin@123', u'name': u'root'})
changed: [172.16.60.205] => (item={u'chpass': u'kevin@123', u'name': u'root'})
changed: [172.16.60.204] => (item={u'chpass': u'bjop123', u'name': u'app'})
changed: [172.16.60.205] => (item={u'chpass': u'bjop123', u'name': u'app'})
changed: [172.16.60.206] => (item={u'chpass': u'kevin@123', u'name': u'root'})
changed: [172.16.60.206] => (item={u'chpass': u'bjop123', u'name': u'app'})
changed: [172.16.60.207] => (item={u'chpass': u'kevin@123', u'name': u'root'})
changed: [172.16.60.207] => (item={u'chpass': u'bjop123', u'name': u'app'})PLAY RECAP *****************************************************************************************************************************
172.16.60.204              : ok=1    changed=1    unreachable=0    failed=0   
172.16.60.205              : ok=1    changed=1    unreachable=0    failed=0   
172.16.60.206              : ok=1    changed=1    unreachable=0    failed=0   
172.16.60.207              : ok=1    changed=1    unreachable=0    failed=0

方法二: 修改远程主机的单个用户密码使用此方法比较方便

编写playbook文件
[root@ansible-server ~]# vim /opt/root_passwd2.yaml
---- hosts: ssh-hostgather_facts: falsetasks:- name: Change passworduser: name={{ name1 }}  password={{ chpass | password_hash('sha512') }}  update_password=always执行ansible-playbook,  使用-e参数传递用户名和密码给剧本,其中root为用户名,admin#123就是修改后的root密码
[root@ansible-server ~]# ansible-playbook /opt/root_passwd2.yaml -e "name1=root chpass=admin#123"            PLAY [ssh-host] ************************************************************************************************************************TASK [Change password] *****************************************************************************************************************
changed: [172.16.60.204]
changed: [172.16.60.205]
changed: [172.16.60.206]
changed: [172.16.60.207]PLAY RECAP *****************************************************************************************************************************
172.16.60.204              : ok=1    changed=1    unreachable=0    failed=0   
172.16.60.205              : ok=1    changed=1    unreachable=0    failed=0   
172.16.60.206              : ok=1    changed=1    unreachable=0    failed=0   
172.16.60.207              : ok=1    changed=1    unreachable=0    failed=0

方法三: 使用如下Ansible脚本, 适用于修改清单中部分远程主机的用户密码

编写ansible-playbook脚本 (需要注意下面脚本中"ens192"是客户机ip所在的网卡设备名称, 这个要根据自己实际环境去配置, 比如eth0, eth1等)
[root@ansible-server ~]# cat /opt/root_passwd4.yaml 
- hosts: test-hostremote_user: roottasks:- name: change password for rootshell: echo '{{ item.password }}' |passwd --stdin rootwhen: ansible_ens192.ipv4.address  == '{{ item.ip }}'with_items:- { ip: "172.16.60.220", password: 'haha@123' }- { ip: "172.16.60.221", password: 'kevin@123' }- { ip: "172.16.60.222", password: 'bobo@123' }执行ansible-playbook:[root@ansible-server ansible]# ansible-playbook /opt/root_passwd3.yamlPLAY [ssh-host] ************************************************************************************************************************TASK [Gathering Facts] *****************************************************************************************************************
ok: [172.16.60.204]
ok: [172.16.60.205]
ok: [172.16.60.206]
ok: [172.16.60.207]TASK [change password for root] ********************************************************************************************************[WARNING]: when statements should not include jinja2 templating delimiters such as {{ }} or {% %}. Found: ansible_eth0.ipv4.address
== '{{ item.ip }}'[WARNING]: when statements should not include jinja2 templating delimiters such as {{ }} or {% %}. Found: ansible_eth0.ipv4.address
== '{{ item.ip }}'skipping: [172.16.60.205] => (item={u'ip': u'172.16.60.204', u'password': u'haha@123'}) [WARNING]: when statements should not include jinja2 templating delimiters such as {{ }} or {% %}. Found: ansible_eth0.ipv4.address
== '{{ item.ip }}'skipping: [172.16.60.206] => (item={u'ip': u'172.16.60.204', u'password': u'haha@123'}) 
skipping: [172.16.60.206] => (item={u'ip': u'172.16.60.205', u'password': u'kevin@123'}) [WARNING]: when statements should not include jinja2 templating delimiters such as {{ }} or {% %}. Found: ansible_eth0.ipv4.address
== '{{ item.ip }}'skipping: [172.16.60.207] => (item={u'ip': u'172.16.60.204', u'password': u'haha@123'}) 
skipping: [172.16.60.207] => (item={u'ip': u'172.16.60.205', u'password': u'kevin@123'}) 
skipping: [172.16.60.207] => (item={u'ip': u'172.16.60.206', u'password': u'bobo@123'}) 
changed: [172.16.60.205] => (item={u'ip': u'172.16.60.205', u'password': u'kevin@123'})
skipping: [172.16.60.205] => (item={u'ip': u'172.16.60.206', u'password': u'bobo@123'}) 
changed: [172.16.60.204] => (item={u'ip': u'172.16.60.204', u'password': u'haha@123'})
skipping: [172.16.60.204] => (item={u'ip': u'172.16.60.205', u'password': u'kevin@123'}) 
skipping: [172.16.60.204] => (item={u'ip': u'172.16.60.206', u'password': u'bobo@123'}) 
changed: [172.16.60.206] => (item={u'ip': u'172.16.60.206', u'password': u'bobo@123'})PLAY RECAP *****************************************************************************************************************************
172.16.60.204              : ok=2    changed=1    unreachable=0    failed=0   
172.16.60.205              : ok=2    changed=1    unreachable=0    failed=0   
172.16.60.206              : ok=2    changed=1    unreachable=0    failed=0   
172.16.60.207              : ok=1    changed=0    unreachable=0    failed=0
如果ansible服务端没有和远程主机做ssh信任关系, 则可以在hosts清单配置里直接指明用户名和密码.
如果使用普通用户, 并且允许sudo, 则需要提前在客户机里的/etc/sudoers文件里配置好该普通用户的sudo配置, 即允许该普通用户有sudo权限.[root@ansible-server ~]# vim /etc/ansible/hosts
................
[test-host]
172.16.60.220 ansible_ssh_user=root ansible_ssh_pass=123456 ansible_ssh_port=22
172.16.60.221 ansible_ssh_user=root ansible_ssh_pass=bo@123 ansible_ssh_port=22
172.16.60.222 ansible_ssh_user=app ansible_ssh_pass=bj@123 ansible_ssh_port=22 ansible_sudo_pass=bj@123即172.16.60.220客户机上要提前配置, 允许app用户具有sudo权限.执行:
[root@ansible-server ~]# ansible test-host -m shell -a "hostname"                      
172.16.60.222 | SUCCESS | rc=0 >>
k8s-node02172.16.60.220 | SUCCESS | rc=0 >>
k8s-master01172.16.60.221 | SUCCESS | rc=0 >>
k8s-node01[root@ansible-server ~]# ansible -i /etc/ansible/hosts test-host -m shell -a "hostname"
172.16.60.222 | SUCCESS | rc=0 >>
k8s-node02172.16.60.220 | SUCCESS | rc=0 >>
k8s-master01172.16.60.221 | SUCCESS | rc=0 >>
k8s-node01

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/791858.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

数据结构进阶篇 之 【交换排序】(冒泡排序,快速排序递归、非递归实现)

数据结构进阶篇 之 【交换排序】(冒泡排序,快速排序递归、非递归实现)

当你觉的自己不行时,你就走到斑马线上,这样你就会成为一个行人 一、交换排序 1.冒泡排序 BubbleSort 1.1 基本思想 1.2 实现原理 1.3 代码实现 1.4 冒泡排序的特性总结 2.快速排序 QuickSort 2.1 基本思想 2.2 递归实现 2.2.1 hoare版 2.2.2 …
阅读更多...
软件设计原则:里氏替换原则

软件设计原则:里氏替换原则

定义 里氏替换原则(Liskov Substitution Principle, LSP)确保继承表现为一种类型扩展而非类型的重定义。具体而言,如果类型 S 是类型 T 的子类型,则类型 T 的对象可以在程序中被类型 S 的对象替换(即,类型…
阅读更多...
NoSQL之Redis

NoSQL之Redis

目录 一、关系型数据库与非关系型数据库 1.关系数据库 2.非关系数据库 2.1非关系型数据库产生背景 3.关系型数据库与非关系型数据区别 (1)数据存储方式不同 (2)扩展方式不同 (3)对事物性的支持不同 …
阅读更多...
关于VueCli项目中如何加载调试Worker和SharedWorker

关于VueCli项目中如何加载调试Worker和SharedWorker

安装Webpack插件 VueCli 项目中默认是没有加载 worker 的配置,需要额外安装 webpack 插件来实现,让我们开始安装 worker-loader 插件 # npm npm install worker-loader # pnpm pnpm install worker-loader # yarn yarn add worker-loader配置Webpack插…
阅读更多...
微服务(基础篇-008-es、kibana安装)

微服务(基础篇-008-es、kibana安装)

目录 05-初识ES-安装es_哔哩哔哩_bilibilihttps://www.bilibili.com/video/BV1LQ4y127n4?p81&vd_source60a35a11f813c6dff0b76089e5e138cc 1.部署单点es 1.1.创建网络 1.2.加载镜像 1.3.运行 2.部署kibana 2.1.部署 2.2.DevTools 3.安装IK分词器 3.1.在线安装ik…
阅读更多...
装修避坑指南 | 定制家具你遇到过哪些坑?福州中宅装饰,福州装修

装修避坑指南 | 定制家具你遇到过哪些坑?福州中宅装饰,福州装修

定制家具时可能会遇到以下一些常见问题: 尺寸不准确:由于定制家具需要按需定制,对尺寸的要求很高。如果尺寸不准确,很可能会导致安装困难或者家具不符合空间需求。 材料质量差:有些厂家可能会使用质量较差的材料来降…
阅读更多...
[AutoSar]BSW_Memory_Stack_003 NVM与APP的显式和隐式同步

[AutoSar]BSW_Memory_Stack_003 NVM与APP的显式和隐式同步

目录 关键词平台说明背景一、implicit synchronization1.1 Write requests 流程 (NvM_WriteBlock)1.2 Read requests 流程 (NvM_ReadBlock)1.3 Restore default requests 流程 (NvM_RestoreBlockDefaults)1.4 Multi block read requests 流程 (NvM_ReadAll)1.5 Multi block wri…
阅读更多...
C# BitConverter

C# BitConverter

BitConverter大端小端转16进制 BitConverter BitConverter 是 C# 中的一个类,它提供了用于字节顺序操作的方法,包括在基本数据类型(如 int、float、double 等)和它们的字节表示之间转换的方法。这个类在处理二进制数据、网络编程…
阅读更多...
【Python系列】 yaml中写入数据

【Python系列】 yaml中写入数据

💝💝💝欢迎来到我的博客,很高兴能够在这里和您见面!希望您在这里可以感受到一份轻松愉快的氛围,不仅可以获得有趣的内容和知识,也可以畅所欲言、分享您的想法和见解。 推荐:kwan 的首页,持续学…
阅读更多...
WEB漏洞-文件上传之基础及过滤方式

WEB漏洞-文件上传之基础及过滤方式

目录 案例1:百度搜索关键词,找到可能存在漏洞的网页 案例2:不同格式下的文件类型后门测试 案例3:配合解析漏洞下的文件类型后门测试 案例4:本地文件上传漏洞下的文件类型后门测试 案例5:某CVE漏洞利用…
阅读更多...
Java基础知识总结(38)

Java基础知识总结(38)

(1)Arrays工具类 Java提供了Arrays工具类,里面包含了一些方法,可以直接操作数组。 1、int binarySearch(long[] a, long key):使用二分查找法查询key元素值在数组a中出现的索引,如果a数组不包含key元素&…
阅读更多...
MySQL索引原理

MySQL索引原理

MySQL索引原理 1、Innodb中的B树是怎么产生的呢? 背景1.1、mysql索引使用B树,为什么?1.2、主键索引图示1.3、mysql最好使用自增ID:为什么呢?1.4、高度为3的B树能存多少条数据?a、假设2层b、假设3层 2、索引采用什么数…
阅读更多...
从0到1构建uniapp应用-store状态管理

从0到1构建uniapp应用-store状态管理

背景 在 UniApp的开发中,状态管理的目标是确保应用数据的一致性,提升用户体验,并简化开发者的工作流程。通过合理的状态管理,可以有效地处理用户交互、数据同步和界面更新等问题。 此文主要用store来管理用户的登陆信息。 重要…
阅读更多...
Dubbo入门项目搭建【Dubbo3.2.9、Nacos2.3.0、SpringBoot 2.7.17、Dubbo-Admin 0.6.0】

Dubbo入门项目搭建【Dubbo3.2.9、Nacos2.3.0、SpringBoot 2.7.17、Dubbo-Admin 0.6.0】

B站学习视频 基于Dubbo3.2.9、Nacos2.3.0、SpringBoot 2.7.17、Dubbo-Admin 0.6.0、Jdk1.8 搭建的Dubbo学习Demo 一、前置安装 1-1、Nacos 安装 我本地是通过docker-compose来安装nacos的,如果需要其它方式安装可以去百度找下教程,版本是2.3.0的 docker…
阅读更多...
新模因币MVP正在受到关注,预计将超越 SHIB 和 BONK

新模因币MVP正在受到关注,预计将超越 SHIB 和 BONK

随着一种新的模因币TRUMP进入爆发式增长,加密市场开始对这种基于选举和权利的模因币充满了期待。并引发了人们对过去“玩笑式”模因币未来的疑问,因为当人们审视区块链与现实的意义时,发现(SHIB) 和 Bonk (BONK) 等成熟模因币这样…
阅读更多...
常见滤波算法(PythonC版本)

常见滤波算法(PythonC版本)

简介 受限于MCU自身的ADC外设缺陷,精度和稳定性通常较差,很多场景下需要用滤波算法进行补偿。滤波的主要目的是减少噪声与干扰对数据的影响,让数据更加接近真实值。 一阶低通滤波 一阶低通滤波是一种信号处理技术,用于去除信号中…
阅读更多...
TextDecoder 用法大全:解码二进制数据到文本字符串的利器

TextDecoder 用法大全:解码二进制数据到文本字符串的利器

在Web开发中,我们经常需要处理二进制数据,比如从网络请求中获取的响应数据。为了将这些二进制数据转换为人类可读的文本字符串,我们可以使用TextDecoder这个强大的Web API。下面,我将为大家详细讲解TextDecoder的用法。 一、创建T…
阅读更多...
call、apply、bind的区别与应用场景

call、apply、bind的区别与应用场景

一、概念 为什么会有call和apply? call和apply两个方法的作用基本相同,它们都是为了改变某个函数执行时的上下文(context)而建立的, 他的真正强大之处就是能够扩充函数赖以运行的作用域。通俗一点讲,就是…
阅读更多...
在project模式下自定义Implementation Strategies

在project模式下自定义Implementation Strategies

Implementation Settings定义了默认选项,当要定义新的implementation runs时会使用这些选项,选项的值可以在Vivado IDE中进行配置。 图1展示了“Settings”对话框中的“implementation runs”对话框。要从Vivado IDE打开此对话框,请从主菜单中…
阅读更多...
网络通信(一)

网络通信(一)

网络编程 互联网时代,现在基本上所有的程序都是网络程序,很少有单机版的程序了。 网络编程就是如何在程序中实现两台计算机的通信。 Python语言中,提供了大量的内置模块和第三方模块用于支持各种网络访问,而且Python语言在网络…
阅读更多...
最新文章

Copyright @ 2022~2023