導入 Ansible 組態工具,多少會使用明文 (Plain text) 在 Playbooks 裡存放敏感資料 (sensitive data) [^1],更別說我們還會搭配 Git 版本系統使用,這很可能會造成潛在的資安風險!接下來凍仁將透過 Vault 這個保險庫系統強化資料安全。
▲ 圖片來源:http://kingofwallpapers.com/vault.html 。
Vault 就字面上的意義有地窖、保險庫的意思。在 Ansible 裡是指加密、解密檔案的技術。
Ansible 從 v1.5 開始支援此功能,預設使用 AES 加密技術,其詳細說明可參考 Vault | Ansible Documentation 官方文件。
在進入實作之前,先來看看 Vault 的使用方法。
建立加密 (Encrypted) 檔案。
$ ansible-vault create foo.yml
編輯加密檔案內容。
$ ansible-vault edit foo.yml
更換加密金鑰 (密碼)。
$ ansible-vault rekey foo.yml
對已存在的明文檔案進行加密
$ ansible-vault encrypt foo.yml
解開 (Decrypt) 已加密檔案。
$ ansible-vault decrypt foo.yml
檢視已加密的檔案內容。
$ ansible-vault view foo.yml
以下將藉由簡單的實作來展示 Playbook 搭配 Vault 的使用方法。
建立 Playbook。
$ vi hello_world.yml
---
- name: say 'hello world'
hosts: all
vars_files:
- defaults/main.yml
tasks:
- name: echo 'hello world'
command: echo 'hello {{ world }}'
register: result
- name: print stdout
debug:
msg: "{{ result.stdout }}"
# vim: ft=ansible :
建立變數檔案。
$ vi defaults/main.yml
world: 'ironman'
將變數檔案進行加密:過程中需輸入兩次密碼。
$ ansible-vault encrypt defaults/main.yml
New Vault password:
Confirm New Vault password:
Encryption successful
檢視已加密的檔案內容:使用剛剛輸入的密碼進行檢視。
$ ansible-vault view defaults/main.yml
Vault password:
world: 'ironman'
執行 Playbook 並搭配 --ask-vault-pass 參數手動輸入密碼。
$ ansible-playbook hello_world.yml --ask-vault-pass
或透過 ansible.cfg 啟用 ask_vault_pass,其預設值為 false。
設定 ansible.cfg。
$ vi ansible.cfg
[defaults]
ask_vault_pass = true
執行 Playbook。
$ ansible-playbook hello_world.yml
建立密碼檔:此例用的密碼為 bGpvxx。
$ echo 'bGpvxx' > secret.txt
執行 Playbook 並搭配 --vault-password-file 參數指定金鑰路徑。
$ ansible-playbook hello_world.yml --vault-password-file secret.txt
或於 ansible.cfg 裡新增 vault_password_file 參數,並指定金鑰路徑。
$ vi ansible.cfg
[defaults]
vault_password_file = secret.txt
最後附上凍仁的實作畫面。
defaults/main.yml 密文 (Cipher text) 檔後,需先用 Vault 解開才可繼續執行。或許大家覺得在本機儲存敏感資料很安全,誰又能保證傳輸過程中能不被竊取呢?
越方便的工具往往伴隨著越大的資安風險,但至少我們可以先從檔案加密著手。
[^1]: 資料庫伺服器 (database server) 的連線資訊、第三方服務的 Access Key 和 Secret 等都算是敏感資料的一種。
iThome鐵人賽
看影片追技術