Ansibleでpamを変更する

Question

新しいサーバー設定の一部として、許可されたsshログインのユーザー/グループおよびsrcIPアドレスを使用して/etc/security/access.confをプロビジョニングします。これには、pam_accessファイルと/etc/pam.d/loginファイルで/etc/pam.d/sshdを有効にする必要があります（とにかくUbuntuで）

それそうです Ansibleにはこれらのルールのいくつかを変更するためのモジュールがありますが、私はそれを機能させることができません。モジュールの規定は次のとおりです。 "PAMルールを変更するには、タイプ、コントロール、およびmodule_pathが既存のルールと一致する必要があります。"つまり、ルールがコメントアウトされている場合、pamdモジュールはその行を有効にするために機能しませんか？

これは私の現在のプレイブックです。タスクのwith_items行を削除し、name:パラメーターにloginを使用しようとしましたが、それも機能しないようです。

--- - hosts: all gather_facts: False tasks: - name: modify pam_access in /etc/pam.d for sshd and login pamd: name : "{{ item }}" type : account control: required module_path: pam_access.so with_items: - login - sshd

そして、これはそれを実行した結果です。それは私に続けることをあまり与えません：

$ ansible-playbook tests/pam-access.yml -i 192.168.24.66, Sudo password: PLAY [all] *********************************************************************************************************** TASK [modify pam_access in /etc/pam.d for sshd and login] ************************************************************ ok: [192.168.24.66] => (item=login) failed: [192.168.24.66] (item=sshd) => {"changed": false, "item": "sshd", "module_stderr": "Shared connection to 192.168.24.66 closed.
", "module_stdout": "
Traceback (most recent call last):
 File \"/tmp/ansible_vzO7tZ/ansible_module_pamd.py\", line 691, in <module>
 main()
 File \"/tmp/ansible_vzO7tZ/ansible_module_pamd.py\", line 645, in main
 pamd.load_rules_from_file()
 File \"/tmp/ansible_vzO7tZ/ansible_module_pamd.py\", line 361, in load_rules_from_file
 self.load_rules_from_string(stringline.replace(\"\\\n\", \"\"))
 File \"/tmp/ansible_vzO7tZ/ansible_module_pamd.py\", line 380, in load_rules_from_string
 self.rules.append(PamdRule.rulefromstring(stringline))
 File \"/tmp/ansible_vzO7tZ/ansible_module_pamd.py\", line 312, in rulefromstring
 rule_type = result.group(1)
AttributeError: 'NoneType' object has no attribute 'group'
", "msg": "MODULE FAILURE", "rc": 1} PLAY RECAP *********************************************************************************************************** 192.168.24.66 : ok=0 changed=0 unreachable=0 failed=1

Server Fault · Answer

結局lineinfileになりました。誰かがより良い解決策を持っているなら、それを見たいです。

 --- - hosts: all gather_facts: False tasks: - name: un-comment or add pam_access in /etc/pam.d files lineinfile: path : "{{ item }}" regexp : "#.*account.*required.*pam_access.so" line : "account required pam_access.so" insertafter : ".*include.*common-auth" state : present with_items: - /etc/pam.d/login - /etc/pam.d/sshd

Crystal · Answer

-vvvvオプションを指定して実行し、失敗した理由を確認します。 sshdファイルとログインファイルで、すでに存在するルールを見つけてから、stateパラメーターを使用して、既存のルールの前または後に新しいルールを挿入するように指示します。例えば：

次の形式を試して、新しいルールを作成してください。

- name: modify pam_access in /etc/pam.d for sshd and login pamd: name: '{{ item }}' #Existing type, control, and module_path in sshd and login type: account control: required module_path: pam_nologin.so #New rule you want to add new_type: account new_control: required new_module_path: pam_access.so module_arguments: insert new args here, if applicable. Remove if none. #Inserts rule before existing rule - can use after as well state: before #loops through both files - if existing module exists in both. loop: - login - sshd

または、既存のルールを見つけて、モジュール/コントロールを変更することもできます。

 - name: Update pam_pwquality.so Rule Control pamd: name: '{{ item }}' type: account control: required module_path: pam_nologin.so new_module_path: pam_pwquality.so loop: - login - sshd