সিসলগে পাসওয়ার্ড ফাঁস না করার জন্য আমি কীভাবে কিছু নির্দিষ্ট উত্তরীয় কাজের ভারসাম্য হ্রাস করতে পারি?

কখনও কখনও আমি কিছু কনফিগারেশন ফাইলে পাসওয়ার্ড লিখতে উত্তরীয় lineinfileবা blockinfileমডিউলগুলি ব্যবহার করতে চাই । যদি আমি এটি করি, সম্পূর্ণ লাইন বা ব্লক, পাসওয়ার্ড অন্তর্ভুক্ত আমার মধ্যে শেষ হবে syslog।

যেহেতু আমি syslogআমার পাসওয়ার্ডগুলি সংরক্ষণ করার জন্য একটি নিরাপদ জায়গা হিসাবে বিবেচনা করি না , আমি কীভাবে উত্তরিকে আমার পাসওয়ার্ড ফাঁস না করতে বলতে পারি syslog? আমি আশা করি এটি করার একটি উপায় আছে, অন্যথায় আমি এটিকে জবাবদিহি করার একটি বড় সুরক্ষা সমস্যা হিসাবে বিবেচনা করব।

আপনি উদাহরণস্বরূপ এই বিজ্ঞাপন-আদেশটি দিয়ে এটি পুনরুত্পাদন করতে পারেন:

ansible localhost -m blockinfile -a 'dest=/tmp/ansible_password_leak create=yes block="Password = {{password}}"' -e 'password=secret'

এখানে কি শেষ হয় syslog:

ansible-blockinfile: Invoked with directory_mode=None force=None remote_src=None insertafter=None owner=None follow=False marker=# {mark} ANSIBLE MANAGED BLOCK group=None insertbefore=None create=True setype=None content=None serole=None state=present dest=/tmp/ansible_password_leak selevel=None regexp=None validate=None src=None seuser=None delimiter=None mode=None backup=False block=Password = secret

উদাহরণস্বরূপ আমি একটি ডেবিয়ান "জেসি" 8 সিস্টেমে আনসিবল উবুন্টু পিপিএ থেকে আনসিবল 2.0.0.2 ব্যবহার করেছি ।

no_log অ্যাট্রিবিউট syslog- র মুখ লুকিয়ে তথ্য। এটি একক কাজে প্রয়োগ করা যেতে পারে

- name: secret task
  shell: /usr/bin/do_something --value={{ secret_value }}
  no_log: True

বা প্লেবুক:

- hosts: all
  no_log: True

সক্রিয় হওয়ার পরে ডিবাগিংটি সত্যই সম্ভব নয় তাই এটি কেবলমাত্র একক কাজের জন্য ব্যবহার করার পরামর্শ দেওয়া হয়। এই বৈশিষ্ট্যটি উত্তরীয় 1.5 সংস্করণ থেকে উপলব্ধ । ১.২ রিলিজের মুক্তির ঘোষণায় বলা হয়েছে:

সংবেদনশীল কাজগুলিকে সিস্লোগ থেকে আঘাত করা রোধ করতে এখন কার্যগুলি একটি "no_log = সত্য" বিকল্প নিতে পারে। (পাসওয়ার্ডগুলির মতো দেখতে পরামিতিগুলি ইতিমধ্যে ফিল্টার করা হয়েছিল)

পাসওয়ার্ড বেশিরভাগ ক্ষেত্রে ফিল্টার করা উচিত।

আমি ডিফল্ট আউটপুটগুলির জন্য পাসওয়ার্ডগুলি আড়াল করার জন্য একটি কলব্যাক প্লাগইন তৈরি করেছি, এটি পাসওয়ার্ডযুক্ত কীগুলির জন্য আউটপুট অভিধানকে পার্স করে, তাদের প্রত্যেকের জন্য, এটি মানকে ******** দ্বারা প্রতিস্থাপন করে।

protect_data.pyফোল্ডারে একটি ফাইল তৈরি করুন ./plugins/callback এই কোড যুক্ত করুন:

from ansible.plugins.callback.default import CallbackModule as CallbackModule_default
import os, collections

class CallbackModule(CallbackModule_default):
    CALLBACK_VERSION = 2.0
    CALLBACK_TYPE = 'stdout'
    CALLBACK_NAME = 'protect_data'

    def __init__(self, display=None):
        super(CallbackModule, self).__init__(display)

    def hide_password(self, result):
        ret = {}
        for key, value in result.iteritems():
            if isinstance(value, collections.Mapping):
                ret[key] = self.hide_password(value)
            else:
                if "password" in key:
                    ret[key] = "********"
                else:
                    ret[key] = value
        return ret

    def _dump_results(self, result, indent=None, sort_keys=True, keep_invocation=False):
        return super(CallbackModule, self)._dump_results(self.hide_password(result), indent, sort_keys, keep_invocation)

ফাইলের মধ্যে ansible.cfg :

• সঙ্গে uncomment লাইন stdout_callbackএবং এই প্লাগইন নাম একটি মান সেট ( stdout_callback=protect_data)
• অসামান্য লাইন callback_pluginsএবং সেট মান সহ./plugins/callback

আউটপুট কেবলমাত্র এই প্লাগইনটির জন্য পরিবর্তিত হয়েছে, যদি আপনি আউটপুট ( logentries, ...) প্রদর্শনের জন্য অন্য প্লাগইন ব্যবহার করেন তবে আপনাকে এটির সাথে এটি করতে হবে

কেউ পরামর্শ দিতে পারেন যে পরিবর্তে ভল্ট ব্যবহার করা সমস্যাটি কাটিয়ে উঠবে।