个人中心
gpt4 book ai didi

ansibleVault加密字符串

转载 作者:行者123 更新时间:2023-12-02 14:12:36 25 4
gpt4 key购买 nike

我正在尝试加密一些密码,但想仅加密字符串的一部分而不是整个文件。因此,有一个命令 ansible-vault encrypt_string 可以为您提供加密的输出,但是当我将其添加到我的 .yaml 剧本中时,它无法解密。

用于加密简单密码的命令:

ansible-vault encrypt_string 'Test123!' --name 'ansible_password'

结果:

ansible_password: !vault | $ANSIBLE_VAULT;1.1;AES256 30333733643939646130396638646138636338636162316536313236666334656338306634353434 3132326265313639623039653261336265343733383730340a663565323932636138633365386332 36363534326263326633623238653464376637646632363839313464333830363436643561626534 6338613837393539350a383962663766373466376138376666393639373631313861663866333663 6137 Encryption successful

^

formatting is a little bit clunky with long strings

所以我尝试将这个值放入我的剧本中,如下所示:

---
- name: Copy needed files to target machine
  hosts: prod
  vars:
          ansible_user: test_admin
          ansible_password: !vault $ANSIBLE_VAULT;1.1;AES256;303337336439396461303966386461386363386361623165363132366663346563383066343534343132326265313639623039653261336265343733383730340a663565323932636138633365386332363635343262633266336232386534643766376466323638393134643338303634366435616265346338613837393539350a3839626637663734663761383766663936393736313138616638663336636137
          ansible_connection: winrm
          ansible_winrm_transport: credssp
          ansible_winrm_server_cert_validation: ignore


  tasks:
  - name: Copy test
    win_copy:
       src: /etc/winmachines/hosts
       dest: C:\test\

然后我想用命令执行剧本:

ansible-playbook copy.yaml -i hosts.ini

结果:

PLAY [Copy needed files to target machine] ********************************************************************************************************

TASK [Gathering Facts] ****************************************************************************************************************************
fatal: [10.5.17.5]: FAILED! => {"msg": "Attempting to decrypt but no vault secrets found"}
        to retry, use: --limit @deleted

PLAY RECAP ****************************************************************************************************************************************
10.5.17.5                  : ok=0    changed=0    unreachable=0    failed=1

当我使用参数 --ask-vault-password 运行 playbook 时:

ansible-playbook copy.yaml -i hosts.ini --ask-vault-pass

PLAY [Copy needed files to target machine] ********************************************************************************************************

TASK [Gathering Facts] ****************************************************************************************************************************
 [WARNING]: There was a vault format error: Vault vaulttext format error: need more than 1 value to unpack

fatal: [10.5.17.5]: FAILED! => {"msg": "Vault vaulttext format error: need more than 1 value to unpack"}
        to retry, use: --limit @deleted

PLAY RECAP ****************************************************************************************************************************************
10.5.17.5                  : ok=0    changed=0    unreachable=0    failed=1

我尝试过以各种方式加密输出,但每次都因为这个问题或语法问题而失败。

当以从输出传递的方式放入时,我收到如下语法错误:

ERROR! Syntax Error while loading YAML.
  could not find expected ':'

The error appears to have been in : line 8, column 11, but may
be elsewhere in the file depending on the exact syntax problem.

The offending line appears to be:

          $ANSIBLE_VAULT;1.1;AES256
          34323264326266303364656561616663306566356636616238623931613032343131643839336338
          ^ here

当所有内容都在同一行时,删除“|”收到此错误:

TASK [Gathering Facts] ****************************************************************************************************************************
fatal: [10.5.17.5]: FAILED! => {"msg": "AES256 343232643262663033646565616166633065663566366162386239316130323431316438393363383331346231343361386432666461646639386135666335380a373862336531613034393262653432313038303432636536313139353932356637343139393938666536383061383233613136643063353761386339323562640a3963306632393865613237666364386566623938356465336363613163646338 cipher could not be found"}

有什么想法吗?

最佳答案

您的格式不正确。由 ansible-vault encrypt_string 'Test123!' 给出的格式--name 'ansible_password' 是您应该使用的。

仅供引用, https://github.com/ansible/ansible/blob/devel/lib/ansible/parsing/vault/init.py#L153 。 Vault 解析器正在寻找由 splitlines() 确定的位于第一行的 $ANSIBLE_VAULT;1.1;AES256(或类似的;vaulttext_envelope)。删除换行符打破了这一期望。

encrypt_string 的输出中,语法完全正确,可以粘贴到您的剧本中。 |(管道字符)在 yaml 中具有特殊含义。它是一个保留换行符的多行 block 。它应该是该行的最后一个字符。使用多行 block 时保持一致的缩进。因为剩余部分是在 https://github.com/ansible/ansible/blob/devel/lib/ansible/parsing/vault/init.py#L165join的,您不需要在密文本身中保留新行。

这意味着以下任何一项都应该有效:

ansible_password: !vault |
    $ANSIBLE_VAULT;1.1;AES256
    30333733643939646130396638646138636338636162316536313236666334656338306634353434
    3132326265313639623039653261336265343733383730340a663565323932636138633365386332
    36363534326263326633623238653464376637646632363839313464333830363436643561626534
    6338613837393539350a383962663766373466376138376666393639373631313861663866333663
    6137
ansible_password: !vault |
    $ANSIBLE_VAULT;1.1;AES256
    303337336439396461303966386461386363386361623165363132366663346563383066343534343132326265313639623039653261336265343733383730340a663565323932636138633365386332363635343262633266336232386534643766376466323638393134643338303634366435616265346338613837393539350a3839626637663734663761383766663936393736313138616638663336636137
ansible_password: !vault "$ANSIBLE_VAULT;1.1;AES256\r\n303337336439396461303966386461386363386361623165363132366663346563383066343534343132326265313639623039653261336265343733383730340a663565323932636138633365386332363635343262633266336232386534643766376466323638393134643338303634366435616265346338613837393539350a3839626637663734663761383766663936393736313138616638663336636137"

请注意,在上一个示例中,我没有使用管道并使用 \r\n 作为换行符。

另请引用:https://yaml-multiline.info/

为了清晰起见,添加完整示例:

---
- name: Copy needed files to target machine
  hosts: prod
  vars:
    ansible_user: test_admin
    ansible_password: !vault |
      $ANSIBLE_VAULT;1.1;AES256;
      30333733643939646130396638646138636338636162316536313236666334656338306634353434
      30333733643939646130396638646138636338636162316536313236666334656338306634353434
      3132326265313639623039653261336265343733383730340a663565323932636138633365386332
      36363534326263326633623238653464376637646632363839313464333830363436643561626534
      6338613837393539350a383962663766373466376138376666393639373631313861663866333663
      6137
    
    ## Notice indentation above
    ## the block started with | will end when indentation changes.
    ansible_connection: winrm
    ansible_winrm_transport: credssp
    ansible_winrm_server_cert_validation: ignore

顺便说一句,选择制表符或空格,但不要同时使用两者。我一般建议使用空格,但对于 python 和 yaml 则更是如此。如果您的编辑器/IDE 不支持语法突出显示,您应该切换到具有语法突出显示功能的编辑器/IDE。并获取某种 yaml linter。 yamllint.com 在短期内可以工作,但从长远来看,您应该获得一些自动的东西并内置到您的编辑器中。

关于ansibleVault加密字符串,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/55849706/

25 4 0
文章推荐: haskell - 在回合制 ascii 游戏中使用 FRP(尤其是响应式(Reactive)香蕉)是否有意义?
文章推荐: sql - 如何让 SSIS 查找转换忽略字母大小写?
文章推荐: asp.net - Bootstrap 表单样式与 ASP.Net 单一表单限制
文章推荐: sql-server - SSRS : repeat tablix left-most row group value on each row
行者123
个人简介

我是一名优秀的程序员,十分优秀!

滴滴打车优惠券免费领取
滴滴打车优惠券
全站热门文章
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com