使用 Puppet 管理服务密码

Question 1

我对自己的解决方案非常满意。这是一个由 puppet manifest 中的 generate() 函数调用的 shell 脚本。每个主机的密码都会根据需要生成并存储在简单文件中。

#!/bin/bash
# /etc/puppet/helpers/bacula/getpwd

if [ "$#" -ne 1 ]; then
    echo "Usage: $0 <pwd_name>"
    exit 1
fi

if [ ! -x /usr/bin/pwgen ]; then
    echo "missing pwgen!" >&2
    exit 1
fi

workdir="/etc/puppet/helpers/bacula/"
workfile="$workdir/passwd"
[ ! -r $workfile ] && exit 2
get_name="$1"

# get password from storage
pwd=$(awk -F: -v name="$get_name" '
BEGIN      { r = "NOTFOUND" }
name == $1 { r = $2         }
END        { printf "%s", r }
' "$workfile")

if [ "$pwd" = "NOTFOUND" ]; then
    # generate new password & store it
    len=$((60 + $RANDOM % 9 ))
    pwd=$(/usr/bin/pwgen -s $len 1)

    echo "${get_name}:${pwd}" >> $workfile
fi

# echo password (without new line)
echo -n "$pwd"

安装 pwgen 或其他密码生成工具，修改 workdir 变量以适应您的系统设置，检查密码长度。在模板文件中调用它：

Password = <%= scope.function_generate("/etc/puppet/helpers/bacula/getpwd", bacula_dirname) %>

Puppet 变量 bacula_dirname 应该基于主机名或从 extlookup() 设置，例如：

$bacula_dirname = "${hostname}-dir"

Answer

我对自己的解决方案非常满意。这是一个由 puppet manifest 中的 generate() 函数调用的 shell 脚本。每个主机的密码都会根据需要生成并存储在简单文件中。

#!/bin/bash
# /etc/puppet/helpers/bacula/getpwd

if [ "$#" -ne 1 ]; then
    echo "Usage: $0 <pwd_name>"
    exit 1
fi

if [ ! -x /usr/bin/pwgen ]; then
    echo "missing pwgen!" >&2
    exit 1
fi

workdir="/etc/puppet/helpers/bacula/"
workfile="$workdir/passwd"
[ ! -r $workfile ] && exit 2
get_name="$1"

# get password from storage
pwd=$(awk -F: -v name="$get_name" '
BEGIN      { r = "NOTFOUND" }
name == $1 { r = $2         }
END        { printf "%s", r }
' "$workfile")

if [ "$pwd" = "NOTFOUND" ]; then
    # generate new password & store it
    len=$((60 + $RANDOM % 9 ))
    pwd=$(/usr/bin/pwgen -s $len 1)

    echo "${get_name}:${pwd}" >> $workfile
fi

# echo password (without new line)
echo -n "$pwd"

安装 pwgen 或其他密码生成工具，修改 workdir 变量以适应您的系统设置，检查密码长度。在模板文件中调用它：

Password = <%= scope.function_generate("/etc/puppet/helpers/bacula/getpwd", bacula_dirname) %>

Puppet 变量 bacula_dirname 应该基于主机名或从 extlookup() 设置，例如：

$bacula_dirname = "${hostname}-dir"

Question 2

    $secret = "super special complicated long secure random string"
    $password = sha1("${fqdn}${secret}")
    notify {$password:}

从另一个文件导入$secret（可能是您未保留在版本控制中的那个木偶类），这样就完成了。神奇的密码生成。

可以通过更改来全局更改密码$secret，或者在每个声明中使用以外的其他内容单独更改密码$fqdn。

Answer

    $secret = "super special complicated long secure random string"
    $password = sha1("${fqdn}${secret}")
    notify {$password:}

从另一个文件导入$secret（可能是您未保留在版本控制中的那个木偶类），这样就完成了。神奇的密码生成。

可以通过更改来全局更改密码$secret，或者在每个声明中使用以外的其他内容单独更改密码$fqdn。

Question 3

另一种方法是通过 extlookup() 设置某些东西，然后您可以获得不依赖于公共值的每台机器的唯一性。

在我们的案例中，我们使用类似的工具完成了类似的工作，这些工具需要的独特性比具有共同秘密的散列值所给予我们的更多。

在 site.pp 中

$extlookup_datadir = "/etc/puppet/manifests/extdata"
$extlookup_precedence = ["hostname/%{hostname}", "common"]

然后，你的扩展数据将如下所示：

/etc/puppet/manifests/extdata
                             /common.csv
                             /hostname
                                      /foo.csv

在 foo.csv 中，你可以放入类似以下内容的内容：

bacula_password,"J()*JF)jj0j20f9j02rj9<whatever>"

然后在你的 bacula 模块中，你可以这样做

$bacula_password = extlookup('bacula_password')

然后您可以在模板中引用它。

当评估目录时，主机名“foo”将首先在 ext 优先级中找到，并从那里提取 bacula_password 的值。

Answer