僕の備忘録(PC、UN*X、ネットワーク関連が中心)なんです。
自分の書いたところは適当(な時とか)に書き換えますので御了承を。
ファイルを暗号化しても、Playbookは普通にできた。
playbook実行直後に、パスワードは要求されるが。
--- - name: Install Proftpd apt: name=proftpd-basic state=present
を、パスワード付きで暗号化すると、
$ ansible-vault encrypt old.yml --output=main.yml
$ cat main.yml $ANSIBLE_VAULT;1.1;AES256 39313561336363393966393163363365353131313263333063356132 373833643363363338323362 6666613165623561333362633038656532326465343037620a326565 323331636130336337663933 36656235633665326238623330653839636365383731663461316663 353330306665633737346363 3861386236363230640a373563646163333566393330653865393336 356432656238356336376564 65343039356530333939386465323230316330643362366237366536 306663393464623361363039 38356334366666313235333831646432373561663930613662626134 623162333836653166306466 37303066333536353231643832336433316438323036363738626662 313262393262623564333032 373630376237373835
本例のパスワードは非常に短いから、コピーした上で攻撃すれば
簡単に割れそうな気もする。答えを最初に書いてはいるけど。
長たらしくて辞書攻撃程度なら耐えそうなパスワードを
考えれば、パスワード格納ファイルをディレクトリツリーの
外に配置せねばなるまい。迂闊にアップロードすることがないように。
パスワードだけになった。と言えるかも。
古いansible-vaultのパスワードと、
新しいパスワードとをそれぞれ別々の
ファイルに格納して、暗号化やり直し。
$ ansible-vault rekey --new-vault-password-file=$DIR/$PWFILE \ > --vault-password-file=$DIR/$OLD_PW_FILE $enc_data Rekey successful
この状態で、 ansible-playbook -e white_ip やればできる。
かなり手間は削減できた。
リンクはご自由にどうぞ。でもURLや内容が変った場合はあしからず。