2017-10-08 58 views
0

私は、ansible_ssh_useransible_ssh_passという変数を自分のプレイブックのグローバル変数に設定しています。私は様々な方法で私のパスワードをハッシュしようとしましたが、私はまだ私のリモートVMにsshできませんでした。私はansible_useransible_passを試しましたが、まだ運がありません。以下は私が使った方法であり、すべて失敗しました。私は何が欠けているのか分からず、うまくいけば専門家の助けもあります。 clear passwordを使用すると動作しますが、ハッシュは動作しません。ここに私が試したが、それでも失敗してきた方法である: -可能なハッシュパスワードが機能しない

1. mkpasswd --method=SHA-512 
2. python -c "from passlib.hash import sha512_crypt; 
    print sha512_crypt.encrypt('<password>')" 
3. # python 
    >>> import crypt 
    >>> crypt.crypt('<PASSWORD>', '$6$salt$') 
4. cat /etc/shadow | grep <user> 
    Try to get the encrypted password but still not working 

私は私のVMがENCRYPTED_METHOD SHA512を使用されていることを確認しています。に接続するために - 何も誰かが

+0

あなたが実際にやろうとしていることを述べることは有益かもしれません。あなたがしたことは何も説明していないと言っています。 – techraf

+0

私はマシンAからAnsibleを実行しようとしていますが、Ansibleはマシンを動作させるために 'ansible_ssh_user'と' ansible_ssh_pass'を使ってマシンBにsshを実行することを期待しています。 'ansible_ssh_pass'がクリアされていれば、すべて動作しますが、マシンAからマシンBへのAnsible経由でログインできます。パスワードをハッシュした瞬間、動作しません。希望は助ける – jlim

答えて

3

を助けることができれば、私はさまざまな方法で自分のパスワードをハッシュ化しようとしたが、私はまだ私のリモートのVM

正当な理由のためへのSSHことができませんでした感謝し、作業していませんリモートマシンでパスワード認証を使用するSSHプロトコルを使用する場合は、パスワードを入力する必要があります。パスワードハッシュではありません。


パスワード認証では、ユーザーがパスワードとシステムでパスワードを処理します。セキュリティ対策の1つとして、システムはパスワードの代わりにパスワードハッシュを格納するため、違反があった場合にパスワード自体が侵害されることはありません。

何らかの理由でシステムがパスワードではなくハッシュを使用してユーザーを認証できる場合、セキュリティ上の脆弱性(パスワードをクリアに保存することと同じ)になります。

本当にパスワード認証を使用する必要がある場合、Anothing Vaultはパスワードを保護する手段を提供します。それ以外の場合は、公開鍵認証を使用します。

+0

ありがとう。これがAnipalドキュメンテーションのどこに文書化されているかご存じですか?私は、可変ファイルを暗号化するための 'anhere-vault'や、秘密を格納するためのHashicorp格納庫を見ていきます。 – jlim

+1

@jlim実際には特に何も書かれていないので、特にAnabilities側には書かれていません。パスワード認証では、ユーザーはパスワードとシステムでこれらのパスワードを処理します。セキュリティを提供するために、システムはパスワードハッシュを格納するため、違反があった場合でもパスワードが漏洩することはありません。何らかの理由でシステムがパスワードではなくハッシュを使ってユーザーを認証できるのであれば、大きなセキュリティ上の欠陥になります。ここではAnsibleは関係ありません。もちろん、秘密を守る良い方法は、Anothing Vaultです。 – techraf

+0

あなたは絶対に正しいです。もっと同意できません。ありがとうございました。 – jlim

関連する問題