Ansible 成为最佳实践并享有特权

Question

我使用 Ansible 来管理容器。我希望确保在部署时遵循用户的最佳实践。关于这一点：

1. 我的大部分剧本都有下面的语句。这（我认为）是大多数活动所必需的，例如安装包、移动系统范围的配置文件以及添加/更新用户。你是做什么的？

变成：是 成为：方法：sudo

1. 我应该在主机上有一个新用户来部署吗？与 #1 相关，我可以修改此用户的 sudoers 访问权限以允许 apt 和其他软件包，但这是一项相当多的工作，并且可能会随着模块的变化而变化。如果需要的话，它可以让我将用户与 SSH 访问隔离开来。

2. 我不知道我应该遵循与正确（在安全方面）应用配置管理系统相关的其他做法。我错过了什么吗？

Answer 1

我们目前禁止在并非绝对必要时使用become，而是以使用-b 标志访问服务器的用户（例如user1）运行我们的剧本以强制执行sudo 应用程序。

这很有帮助，因为：

1. 应用 playbook 的用户需要提供-b 标志（即：额外的一层“安全性” - 您可以将其与“当您不需要时，您应该是 linux 机器上的 root 用户”的声明进行比较） .
2. 您可以在没有 -b 的情况下运行 playbook 以获取检查模式。它会告诉您是否需要在该服务器上执行任何操作而无需执行任何操作。