शेलिबल में शेल स्क्रिप्ट

मान लीजिए कि किसी ग्राहक ने आपको RHEL और AIX सर्वर पर एक केंद्रीकृत sudoers फ़ाइल को तैनात करने के लिए स्क्रिप्ट माइग्रेशन में मदद करने के लिए कहा।



खैर, यह काफी सामान्य परिदृश्य है, और इसके उदाहरण से आप एंसिबल की उन्नत सुविधाओं के उपयोग को प्रदर्शित कर सकते हैं, साथ ही साथ दृष्टिकोण कैसे बदल रहा है - एक स्क्रिप्ट से जो एक निश्चित कार्य को करता है, एक आदर्श के लिए (उदाहरण के परिवर्तन के बिना) विवरण और निगरानी के अनुपालन के बिना।

स्क्रिप्ट लें:

#!/bin/sh # Desc: Distribute unified copy of /etc/sudoers # # $Id: $ #set -x export ODMDIR=/etc/repos # # perform any cleanup actions we need to do, and then exit with the # passed status/return code # clean_exit() { cd / test -f "$tmpfile" && rm $tmpfile exit $1 } #Set variables PROG=`basename $0` PLAT=`uname -s|awk '{print $1}'` HOSTNAME=`uname -n | awk -F. '{print $1}'` HOSTPFX=$(echo $HOSTNAME |cut -c 1-2) NFSserver="nfs-server" NFSdir="/NFS/AIXSOFT_NFS" MOUNTPT="/mnt.$$" MAILTO="unix@company.com" DSTRING=$(date +%Y%m%d%H%M) LOGFILE="/tmp/${PROG}.dist_sudoers.${DSTRING}.log" BKUPFILE=/etc/sudoers.${DSTRING} SRCFILE=${MOUNTPT}/skel/sudoers-uni MD5FILE="/.sudoers.md5" echo "Starting ${PROG} on ${HOSTNAME}" >> ${LOGFILE} 2>&1 # Make sure we run as root runas=`id | awk -F'(' '{print $1}' | awk -F'=' '{print $2}'` if [ $runas -ne 0 ] ; then echo "$PROG: you must be root to run this script." >> ${LOGFILE} 2>&1 exit 1 fi case "$PLAT" in SunOS) export PINGP=" -t 7 $NFSserver " export MOUNTP=" -F nfs -o vers=3,soft " export PATH="/usr/sbin:/usr/bin" echo "SunOS" >> ${LOGFILE} 2>&1 exit 0 ;; AIX) export PINGP=" -T 7 $NFSserver 2 2" export MOUNTP=" -o vers=3,bsy,soft " export PATH="/usr/bin:/etc:/usr/sbin:/usr/ucb:/usr/bin/X11:/sbin:/usr/java5/jre/bin:/usr/java5/bin" printf "Continuing on AIX...\n\n" >> ${LOGFILE} 2>&1 ;; Linux) export PINGP=" -t 7 -c 2 $NFSserver" export MOUNTP=" -o nfsvers=3,soft " export PATH="/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin:/root/bin" printf "Continuing on Linux...\n\n" >> ${LOGFILE} 2>&1 ;; *) echo "Unsupported Platform." >> ${LOGFILE} 2>&1 exit 1 esac ## ## Exclude Lawson Hosts ## if [ ${HOSTPFX} = "la" ] then echo "Exiting Lawson host ${HOSTNAME} with no changes." >> ${LOGFILE} 2>&1 exit 0 fi ## ## * NFS Mount Section * ## ## Check to make sure NFS host is up printf "Current PATH is..." >> ${LOGFILE} 2>&1 echo $PATH >> $LOGFILE 2>&1 ping $PINGP >> $LOGFILE 2>&1 if [ $? -ne 0 ]; then echo " NFS server is DOWN ... ABORTING SCRIPT ... Please check server..." >> $LOGFILE echo "$PROG failed on $HOSTNAME ... NFS server is DOWN ... ABORTING SCRIPT ... Please check server ... " | mailx -s "$PROG Failed on $HOSTNAME" $MAILTO exit 1 else echo " NFS server is UP ... We will continue..." >> $LOGFILE fi ## ## Mount NFS share to HOSTNAME. We do this using a soft mount in case it is lost during a backup ## mkdir $MOUNTPT mount $MOUNTP $NFSserver:${NFSdir} $MOUNTPT >> $LOGFILE 2>&1 ## ## Check to make sure mount command returned 0. If it did not odds are something else is mounted on /mnt.$$ ## if [ $? -ne 0 ]; then echo " Mount command did not work ... Please check server ... Odds are something is mounted on $MOUNTPT ..." >> $LOGFILE echo " $PROG failed on $HOSTNAME ... Mount command did not work ... Please check server ... Odds are something is mounted on $MOUNTPT ..." | mailx -s "$PROG Failed on $HOSTNAME" $MAILTO exit 1 else echo " Mount command returned a good status which means $MOUNPT was free for us to use ... We will now continue ..." >> $LOGFILE fi ## ## Now check to see if the mount worked ## if [ ! -f ${SRCFILE} ]; then echo " File ${SRCFILE} is missing... Maybe NFS mount did NOT WORK ... Please check server ..." >> $LOGFILE echo " $PROG failed on $HOSTNAME ... File ${SRCFILE} is missing... Maybe NFS mount did NOT WORK ... Please check server ..." | mailx -s "$PROG Failed on $HOSTNAME" $MA ILTO umount -f $MOUNTPT >> $LOGFILE rmdir $MOUNTPT >> $LOGFILE exit 1 else echo " NFS mount worked we are going to continue ..." >> $LOGFILE fi ## ## * Main Section * ## if [ ! -f ${BKUPFILE} ] then cp -p /etc/sudoers ${BKUPFILE} else echo "Backup file already exists$" >> ${LOGFILE} 2>&1 exit 1 fi if [ -f "$SRCFILE" ] then echo "Copying in new sudoers file from $SRCFILE." >> ${LOGFILE} 2>&1 cp -p $SRCFILE /etc/sudoers chmod 440 /etc/sudoers else echo "Source file not found" >> ${LOGFILE} 2>&1 exit 1 fi echo >> ${LOGFILE} 2>&1 visudo -c |tee -a ${LOGFILE} if [ $? -ne 0 ] then echo "sudoers syntax error on $HOSTNAME." >> ${LOGFILE} 2>&1 mailx -s "${PROG}: sudoers syntax error on $HOSTNAME" "$MAILTO" << EOF Syntax error /etc/sudoers on $HOSTNAME. Reverting changes Please investigate. EOF echo "Reverting changes." >> ${LOGFILE} 2>&1 cp -p ${BKUPFILE} /etc/sudoers else # # Update checksum file # grep -v '/etc/sudoers' ${MD5FILE} > ${MD5FILE}.tmp csum /etc/sudoers >> ${MD5FILE}.tmp mv ${MD5FILE}.tmp ${MD5FILE} chmod 600 ${MD5FILE} fi echo >> ${LOGFILE} 2>&1 if [ "${HOSTPFX}" = "hd" ] then printf "\nAppending #includedir /etc/sudoers.d at end of file.\n" >> ${LOGFILE} 2>&1 echo "" >> /etc/sudoers echo "## Read drop-in files from /etc/sudoers.d (the # here does not mean a comment)" >> /etc/sudoers echo "#includedir /etc/sudoers.d" >> /etc/sudoers fi ## ## * NFS Un-mount Section * ## ## ## Unmount /mnt.$$ directory ## umount ${MOUNTPT} >> $LOGFILE 2>&1 if [ -d ${MOUNTPT} ]; then rmdir ${MOUNTPT} >> $LOGFILE 2>&1 fi ## ## Make sure that /mnt.$$ got unmounted ## if [ -f ${SRCFILE} ]; then echo " The umount command failed to unmount ${MOUNTPT} ... We will not force the unmount ..." >> $LOGFILE umount -f ${MOUNTPT} >> $LOGFILE 2>&1 if [ -d ${MOUNTPT} ]; then rmdir ${MOUNTPT} >> $LOGFILE 2>&1 fi else echo " $MOUNTPT was unmounted ... There is no need for user intervention on $HOSTNAME ..." >> $LOGFILE fi # # as always, exit cleanly # clean_exit 0 

कोड की 212 पंक्तियाँ हैं, जिसमें sudoers फ़ाइल में कोई संस्करण नियंत्रण नहीं है। ग्राहक के पास पहले से ही एक प्रक्रिया है जो सप्ताह में एक बार चलती है और सुरक्षा सुनिश्चित करने के लिए फ़ाइल का चेकसम चेक करती है। हालाँकि स्क्रिप्ट में सोलारिस का संदर्भ है, लेकिन इस ग्राहक के लिए हमें इस आवश्यकता को हस्तांतरित नहीं करना था।

आइए एक भूमिका बनाकर शुरू करें और संस्करण नियंत्रण के लिए सूट में फाइल को फाइल में डाल दें। अन्य बातों के अलावा, यह हमें एनएफएस संस्करणों को माउंट करने की आवश्यकता से छुटकारा पाने की अनुमति देगा।

कॉपी और टेम्प्लेट मॉड्यूल के लिए मान्य और बैकअप विकल्पों के साथ, हम बैकअप लेने और फ़ाइल को पुनर्स्थापित करने के लिए कोड लिखने की आवश्यकता को समाप्त कर सकते हैं। इस स्थिति में, फ़ाइल को गंतव्य बिंदु पर रखने से पहले सत्यापन किया जाता है, और यदि सत्यापन विफल हो जाता है, तो मॉड्यूल एक त्रुटि फेंकता है।

प्रत्येक भूमिका के लिए, हमें कार्य, टेम्प्लेट और चर निर्दिष्ट करने होंगे। यहाँ संगत फ़ाइल की संरचना है:



भूमिका स्क्रिप्ट फ़ाइल (प्लेबुक), sudoers.yml , की एक सरल संरचना है:

---
##
# Role playbook
##
- hosts: all
roles:
- sudoers
...

भूमिका चर var / main.yml फ़ाइल में स्थित हैं। इस फ़ाइल में चेकसम फ़ाइल है और इसमें ऐसे निर्देश शामिल / शामिल नहीं हैं जिनका उपयोग लॉसन मेजबानों को छोड़ने के लिए विशेष तर्क बनाने के लिए किया जाएगा और इसमें sudoers.d फ़ाइल को केवल HD होस्ट्स में शामिल किया जाएगा।

यहाँ var / main.yml फ़ाइल की सामग्री दी गई है :

---
MD5FILE: /root/.sudoer.md5
EXCLUDE: la
INCLUDE: hd
...

यदि हम कॉपी और लाइनइनफाइल मॉड्यूल का उपयोग करते हैं, तो भूमिका बेकार नहीं होगी। कॉपी मॉड्यूल बेस फ़ाइल को स्थापित करेगा, और लाइनइनफाइल हर बार इसे शुरू होने पर फिर से शामिल करेगा। चूँकि यह भूमिका Ansible Tower पर लॉन्च की जाएगी, इसलिए यह आवश्यक है। हम फ़ाइल को एक jinja2 टेम्पलेट में बदल देंगे।

पहली पंक्ति में, हम रिक्त स्थान और इंडेंट को नियंत्रित करने के लिए निम्न कमांड जोड़ते हैं:

#jinja2: lstrip_blocks: True, trim_blocks: True

ध्यान दें कि टेम्प्लेट मॉड्यूल के नए संस्करणों में ट्रिम_ब्लॉक (Ansible 2.4 में जोड़ा गया) के पैरामीटर शामिल हैं।

यहां वह कोड है जो फ़ाइल के अंत में शामिल लाइन सम्मिलित करता है:

{% if ansible_hostname[0:2] == INCLUDE %}
#includedir /etc/sudoers.d
{% endif %}

हम शेल कमांड के लिए सशर्त निर्माण ({% if%}, {% endif%}) का उपयोग करते हैं जो होस्ट्स के लिए एक पंक्ति सम्मिलित करता है जिनके नाम अक्षर "HD" से शुरू होते हैं। हम होस्टनाम को पार्स करने के लिए अन्सिबल तथ्यों और एक फ़िल्टर [0: 2] का उपयोग करते हैं।

अब कार्यों को आगे बढ़ाते हैं। सबसे पहले, आपको मेजबान नाम को पार्स करने के लिए एक तथ्य स्थापित करने की आवश्यकता है। हम सशर्त निर्माण में "parhost" तथ्य का उपयोग करेंगे।

---
##
# Parse hostnames to grab 1st 2 characters
##
- name: "Parse hostname's 1st 2 characters"
set_fact: parhost={{ ansible_hostname[0:2] }}

RHEL स्टॉक सर्वर पर कोई csum पैरामीटर नहीं है। यदि आवश्यक हो, तो हम बाइनरी फ़ाइल के नाम को चेकसम के साथ सशर्त रूप से इंगित करने के लिए एक और तथ्य का उपयोग कर सकते हैं। कृपया ध्यान दें कि यदि AIX, Solaris और Linux पर ये सुविधाएँ भिन्न हैं, तो अतिरिक्त कोड की आवश्यकता हो सकती है।

इसके अलावा, हमें AIX और RHEL पर रूट समूहों में अंतर के साथ समस्या को हल करना होगा।

##
# Conditionally set name of checksum binary
##
- name: "set checksum binary"
set_fact:
csbin: "{{ 'cksum' if (ansible_distribution == 'RedHat') else 'csum' }}"

##
# Conditionally set name of root group
##
- name: "set system group"
set_fact:
sysgroup: "{{ 'root' if (ansible_distribution == 'RedHat') else 'sys' }}"

ब्लॉक का उपयोग करने से हम पूरे कार्य के लिए शर्त निर्धारित कर सकते हैं। हम "ला" मेजबानों को बाहर करने के लिए ब्लॉक के अंत में स्थिती का उपयोग करेंगे।

##
# Enclose in block so we can use parhost to exclude hosts
##
- block:

टेम्पलेट मॉड्यूल फ़ाइल को मान्य और स्थापित करता है। हम परिणाम को ठीक करते हैं ताकि हम यह निर्धारित कर सकें कि क्या कार्य बदल गया है। इस मॉड्यूल में मान्य पैरामीटर का उपयोग करने से आप मेजबान पर रखने से पहले नई sudoer फ़ाइल की वैधता को सत्यापित कर सकते हैं।

##
# Validate will prevent bad files, no need to revert
# Jinja2 template will add include line
##
- name: Ensure sudoers file
template:
src: sudoers.j2
dest: /etc/sudoers
owner: root
group: "{{ sysgroup }}"
mode: 0440
backup: yes
validate: /usr/sbin/visudo -cf %s
register: sudochg

यदि कोई नया टेम्प्लेट स्थापित किया गया है, तो चेकसम फाइल बनाने के लिए शेल स्क्रिप्ट चलाएँ। सशर्त निर्माण sudoers टेम्पलेट स्थापित करते समय, या यदि चेकसम फ़ाइल गायब है, तो चेकसम फ़ाइल को अपडेट करता है। चूंकि रनिंग प्रक्रिया अन्य फ़ाइलों की निगरानी भी करती है, इसलिए हम स्रोत स्क्रिप्ट में दिए गए शेल कोड का उपयोग करते हैं:

- name: sudoers checksum
shell: "grep -v '/etc/sudoers' {{ MD5FILE }} > {{ MD5FILE }}.tmp ; {{ csbin }} /etc/sudoers >> {{ MD5FILE }} ; mv {{ MD5FILE }}.tmp {{ MD5FILE }}"
when: sudochg.changed or MD5STAT.exists == false

फ़ाइल मॉड्यूल आवश्यक अनुमतियों की स्थापना की पुष्टि करता है:

- name: Ensure MD5FILE permissions
file:
path: "{{ MD5FILE }}"
owner: root
group: "{{ sysgroup }}"
mode: 0600
state: file

चूंकि बैकअप पैरामीटर पिछले बैकअप को संसाधित करने के लिए कोई विकल्प प्रदान नहीं करता है, इसलिए हमें स्वयं उपयुक्त कोड बनाने का ध्यान रखना होगा। नीचे दिए गए उदाहरण में, हम इसके लिए "रजिस्टर" पैरामीटर और "stdout_lines" फ़ील्ड का उपयोग करते हैं।

##
# List and clean up backup files. Retain 3 copies.
##
- name: List /etc/sudoers.*~ files
shell: "ls -t /etc/sudoers*~ |tail -n +4"
register: LIST_SUDOERS
changed_when: false

- name: Cleanup /etc/sudoers.*~ files
file:
path: "{{ item }}"
state: absent
loop: "{{ LIST_SUDOERS.stdout_lines }}"
when: LIST_SUDOERS.stdout_lines != ""

ब्लॉक समापन:

##
# This conditional restricts what hosts this block runs on
##
when: parhost != EXCLUDE
...

इच्छित उपयोग का मामला इस भूमिका को अंसिबल टॉवर पर खेलना है। अन्सिबल टॉवर अलर्ट को कॉन्फ़िगर किया जा सकता है ताकि नौकरी के निष्पादन में विफलता की स्थिति में, ईमेल को स्लैक, या किसी अन्य तरीके से अलर्ट भेजा जाएगा। यह भूमिका Ansible, Ansible Engine या Ansible Tower में चलती है।

नतीजतन, हमने स्क्रिप्ट से सबकुछ हटा दिया और पूरी तरह से एक आदर्श भूमिका बनाई जो सूडर्स फ़ाइल की वांछित स्थिति प्रदान कर सकती है। SCM का उपयोग करना संस्करण नियंत्रण की अनुमति देता है, और अधिक कुशल परिवर्तन प्रबंधन और पारदर्शिता प्रदान करता है। जेनकिंस या अन्य उपकरणों के साथ सीआई / सीडी आपको भविष्य के परिवर्तनों के लिए Ansible कोड का स्वचालित परीक्षण स्थापित करने की अनुमति देते हैं। आंसिबल टॉवर में ऑडिटर की भूमिका आपको संगठनात्मक आवश्यकताओं की निगरानी और प्रवर्तन करने की अनुमति देती है।

चेकसम के साथ काम करने के लिए कोड को स्क्रिप्ट से हटाया जा सकता है, लेकिन इसके लिए ग्राहक को पहले अपनी सुरक्षा सेवा से परामर्श करना होगा। यदि आवश्यक हो, सूडोर्स पैटर्न को अन्सिबल वॉल्ट के साथ संरक्षित किया जा सकता है। अंत में, समूहों का उपयोग करके तर्क का उपयोग करने से बचना शामिल है और शामिल नहीं है।

→ आप इस लिंक पर GitHub से भूमिका डाउनलोड कर सकते हैं