【规则说明】无登录密码

2 年 ago
逸, 科
1 minute

本文是Ansible检查(Ansible lint) 2022年圣诞节日历第25天的文章。

这次我们来解释一下“no-log-password”规则。

无日志密码

当传递密码等保密信息时,no-log-password 将验证这些保密信息是否会在 Ansible 执行日志中暴露出来。no-log-password 是一种选择加入的功能,因此在初始设置中不启用。要应用 no-log-password,请在配置文件等中启用。

enable_list:
  - no-log-password

大多数的 Ansible 模块不会将敏感信息暴露在执行日志中。然而,为了避免万一情况,也可以考虑将 no_log: true 设置为真。

有问题的代码 de

---
- name: Example playbook
  hosts: localhost
  tasks:
    - name: Log user passwords
      ansible.builtin.user:
        name: john_doe
        comment: John Doe
        uid: 1040
        group: admin
        password: "{{ item }}"
      with_items:
        - wow
      no_log: false # <- no_log が false になっている

修改后的代码 le de

---
- name: Example playbook
  hosts: localhost
  tasks:
    - name: Do not log user passwords
      ansible.builtin.user:
        name: john_doe
        comment: John Doe
        uid: 1040
        group: admin
        password: "{{ item }}"
      with_items:
        - wow
      no_log: true # <- no_log を true にする

参考网站

    no-log-password — Ansible Lint Documentation
bannerAds