Какой ключ повышает привилегии в Ansible?

Повышение привилегий в Ansible: ключ become

В Ansible для выполнения задач с повышенными привилегиями (обычно от имени пользователя root) используется не "ключ" в традиционном смысле аргумента командной строки, а директива become и связанные с ней параметры. Концепция называется "Privilege Escalation" (повышение привилегий).

Основной механизм: директива become

Директива become сообщает Ansible, что задачу или весь плейбук нужно выполнить с правами другого пользователя (по умолчанию — root). Её можно применять на разных уровнях:

• На уровне задачи (task):

  - name: Устанавливаем пакет nginx
    apt:
      name: nginx
      state: present
    become: yes  # Задача будет выполнена с правами root
  

• На уровне блока задач (block):

  - name: Конфигурация системы
    become: yes
    block:
      - name: Копируем конфигурационный файл
        copy:
          src: /local/nginx.conf
          dest: /etc/nginx/nginx.conf
      - name: Перезапускаем службу
        service:
          name: nginx
          state: restarted
  

• На уровне плейбука (play):

  - name: Настройка веб-сервера
    hosts: webservers
    become: yes  # Все задачи в этом плейбуке выполнятся с повышенными привилегиями
    tasks:
      - name: Устанавливаем пакеты
        apt:
          name:
            - nginx
            - git
  

Ключевые параметры, связанные с become

Сама директива become: yes активирует механизм повышения прав. Для тонкой настройки используются дополнительные параметры:

1. become_method: Указывает метод повышения привилегий. По умолчанию используется sudo, но возможны и другие:

    *   `sudo` (стандартный для Linux)
    *   `su` (переключение пользователя с запросом пароля)
    *   `doas` (на OpenBSD)
    *   `pbrun` (PowerBroker)
    *   `pfexec` (на Solaris)

```yaml
become: yes
become_method: su
```

2. become_user: Позволяет стать конкретным пользователем, а не только root. По умолчанию — root. yaml - name: Выполняем задачу от имени пользователя 'appuser' command: whoami become: yes become_user: appuser

1. become_flags: Позволяет передать дополнительные флаги методу become. Например, для сохранения переменных окружения при использовании sudo:

   become: yes
   become_method: sudo
   become_flags: '-E'
   

Использование в командной строке (Ad-hoc команды)

При выполнении разовых команд через ansible или ansible-playbook можно использовать флаги командной строки, которые соответствуют указанным выше директивам:

• --become или -b : Активирует повышение привилегий (эквивалент become: yes).
• --become-method METHOD : Задает метод (например, sudo).
• --become-user USERNAME : Указывает пользователя.

Пример ad-hoc команды:

# Перезагрузить все хосты в группе 'web' с правами root
ansible web -i inventory.ini -a "reboot" --become

Важные аспекты безопасности и настройки

• Пароли и become: При использовании sudo с паролем или метода su Ansible запросит "BECOME password". Его можно передать через флаг -K в командной строке или настроить через ansible_become_pass в переменных.
• Настройка в ansible.cfg: Поведение по умолчанию можно задать в конфигурационном файле:

  [privilege_escalation]
  become = True
  become_method = sudo
  become_user = root
  become_ask_pass = False
  

• Избирательное применение: Рекомендуется использовать become только для тех задач, которым это действительно необходимо, следуя принципу минимальных привилегий. Задачи, не требующие root (например, копирование файлов в домашний каталог), должны выполняться без него.

Итог: В Ansible не существует единого "ключа" для повышения привилегий. Основным инструментом является директива become (или её командный аналог -b), которая в сочетании с параметрами become_method, become_user и become_flags предоставляет гибкий и безопасный механизм выполнения задач с необходимыми правами.