文件资源的 Puppet 审计不起作用

Question 1

是的，这是非常有可能的。你需要使用“通知”元参数，它将告诉file资源在触发时促使另一个资源运行。有些资源类型关心是否收到通知（在文档中为“刷新”）；service资源exec是最有用的。然后，您可以构建一个exec资源，将refreshonly => true其写入日志或标准输出。

我会像这样实现上述配置：

class sudo {
    package { 'sudo':
        ensure  => present,
        before  => File['/etc/sudoers'],
    }

    file { '/etc/sudoers':
        ensure  => file,
        mode    => 440,
        owner   => root,
        group   => root,
        source  => 'puppet:///modules/sudo/sudoers',
        replace => false,
        notify  => Exec["sudoers_changed"],
    }

    exec { "sudoers_changed":
       command => "/bin/echo '/etc/sudoers has changed...'",
       refreshonly => true,
       loglevel => "alert",
       logoutput => true,
   }
}

loglevel和参数只会让您更清楚地了解实验时输出的去向；您当然可以根据自己的需要对其进行调整logoutput。exec

Answer

是的，这是非常有可能的。你需要使用“通知”元参数，它将告诉file资源在触发时促使另一个资源运行。有些资源类型关心是否收到通知（在文档中为“刷新”）；service资源exec是最有用的。然后，您可以构建一个exec资源，将refreshonly => true其写入日志或标准输出。

我会像这样实现上述配置：

class sudo {
    package { 'sudo':
        ensure  => present,
        before  => File['/etc/sudoers'],
    }

    file { '/etc/sudoers':
        ensure  => file,
        mode    => 440,
        owner   => root,
        group   => root,
        source  => 'puppet:///modules/sudo/sudoers',
        replace => false,
        notify  => Exec["sudoers_changed"],
    }

    exec { "sudoers_changed":
       command => "/bin/echo '/etc/sudoers has changed...'",
       refreshonly => true,
       loglevel => "alert",
       logoutput => true,
   }
}

loglevel和参数只会让您更清楚地了解实验时输出的去向；您当然可以根据自己的需要对其进行调整logoutput。exec

Question 2

您应该能够通知任何类型，因此您可以通知通知类型。

exec { "foo":
  notify => Notify["exec-alert"],
}

notify { "exec-alert":
  message => "sudoers has changed"
}

无论如何，文件的改变都会被记录到 Pubpet 日志中，并被标记为改变。

Answer

您应该能够通知任何类型，因此您可以通知通知类型。

exec { "foo":
  notify => Notify["exec-alert"],
}

notify { "exec-alert":
  message => "sudoers has changed"
}

无论如何，文件的改变都会被记录到 Pubpet 日志中，并被标记为改变。

文件资源的 Puppet 审计不起作用

答案1

答案2

相关内容