有沒有辦法忽略Ansible所做的SSH真實性檢查?例如,當我剛剛建立一個新的服務器我已經是這個問題的答案:如何忽略有效的SSH真實性檢查?
GATHERING FACTS ***************************************************************
The authenticity of host 'xxx.xxx.xxx.xxx (xxx.xxx.xxx.xxx)' can't be established.
RSA key fingerprint is xx:yy:zz:....
Are you sure you want to continue connecting (yes/no)?
我知道,這通常是一個壞主意,但我在第一次創建一個新的腳本將這一我的雲提供商的虛擬服務器,然後自動調用我的可靠的劇本來配置它。我想在腳本執行過程中避免任何人爲干預。
任何人都知道什麼是最好的做法嗎?例如,您可以定期運行一個腳本來重置您的已知主機,這會更安全(除非受到該窗口中的MITM攻擊)。默認情況下忽略真實性消除了SSH主要安全機制之一 – TonyH
我喜歡我的團隊使用的模式:我們將禁用主機密鑰檢查的ansible.cfg文件放在我們針對短暫實例運行的劇本的工作目錄中(在流浪虛擬機上運行的單元測試,AWS ec2實例等),並在系統級別啓用檢查。 – nikobelia
這樣,您可以管理主機密鑰檢查*每個邏輯環境*。對於在動態站起來並在劇本執行後立即刪除的實例檢查主機密鑰沒有安全價值,但在檢查持久計算機的主機密鑰時有安全價值。所以你應該對這些不同的用例有不同的默認值。 – nikobelia