olivier/change-password
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
fd18fa60657a52820196fa8b3c24227a08b50852
change-password/README.md
T

133 lines
3.6 KiB
Markdown
Raw Blame History

# Rotation de mot de passe SSH/sudo
Petit projet Ansible pour changer le mot de passe d'un compte Linux existant
sur un ou plusieurs serveurs.
Le playbook demande le nouveau mot de passe au lancement et l'applique sur les
hotes cibles avec `chpasswd` via `sudo`. Le mot de passe n'est pas stocke dans
les fichiers du depot et la tache de changement est masquee avec `no_log: true`.
## Fichiers principaux
- `ansible.cfg` : configuration Ansible du projet.
- `inventories/hosts.yml` : inventaire principal et variables de connexion.
- `playbooks/change_password.yml` : playbook de changement de mot de passe.
## Configuration
Les variables communes sont definies dans `inventories/hosts.yml`, sous
`all.vars` :
```yaml
all:
vars:
ansible_user: admin
password_target_user: admin
```
- `ansible_user` est l'utilisateur SSH utilise pour se connecter aux serveurs.
- `password_target_user` est le compte dont le mot de passe sera change.
Gardez `password_target_user` identique a `ansible_user` lorsque le compte SSH
et le compte sudo sont les memes.
L'inventaire separe les serveurs en deux familles :
```yaml
linux_servers:
hosts:
linux-server-01.example.com:
linux-server-02.example.com:
ansible_host: 192.0.2.10
ssh_key_servers:
vars:
ansible_ssh_private_key_file: ~/.ssh/id_ed25519
hosts:
test-server.example.com:
linux-server-01.example.com:
ssh_password_servers:
hosts:
linux-server-02.example.com:
```
- `ssh_key_servers` regroupe les serveurs accessibles avec une cle SSH. Le
chemin de la cle privee est factorise dans les variables du groupe.
- `ssh_password_servers` regroupe les serveurs accessibles avec un mot de passe
SSH. Utilisez `--ask-pass` pour ces hotes.
- `linux_servers` reste le groupe de rollout principal. Un hote peut appartenir
a la fois a `linux_servers` et a une famille d'authentification.
Si un serveur avec cle SSH utilise une cle differente, placez l'exception sur
l'entree de l'hote :
```yaml
ssh_key_servers:
vars:
ansible_ssh_private_key_file: ~/.ssh/id_ed25519
hosts:
special-server.example.com:
ansible_ssh_private_key_file: ~/.ssh/special_server_key
```
## Utilisation
Lancez le playbook avec demande du mot de passe `sudo` :
```bash
ansible-playbook playbooks/change_password.yml --ask-become-pass
```
Le playbook demandera ensuite le nouveau mot de passe du compte cible, avec
confirmation.
## Deploiement progressif
Commencez par un petit groupe de test :
```bash
ansible-playbook playbooks/change_password.yml --ask-become-pass --limit test
```
Puis ciblez le groupe complet lorsque le test est valide :
```bash
ansible-playbook playbooks/change_password.yml --ask-become-pass --limit linux_servers
```
Pour cibler seulement les serveurs avec cle SSH :
```bash
ansible-playbook playbooks/change_password.yml --ask-become-pass --limit ssh_key_servers
```
Pour cibler les serveurs avec mot de passe SSH, ajoutez `--ask-pass` :
```bash
ansible-playbook playbooks/change_password.yml --ask-pass --ask-become-pass --limit ssh_password_servers
```
## Verification
Verifier que l'inventaire est lisible :
```bash
ansible-inventory --list
```
Verifier la syntaxe du playbook :
```bash
ansible-playbook playbooks/change_password.yml --syntax-check
```
## Regles de securite
- Ne commitez jamais de mot de passe en clair.
- Utilisez `vars_prompt`, `ansible-vault` ou une source externe pour les secrets.
- Conservez `no_log: true` sur les taches qui manipulent un mot de passe ou un
hash de mot de passe.
- Testez toujours sur un groupe restreint avant de cibler tous les serveurs.
- Ne modifiez pas la politique SSH pendant une rotation de mot de passe.
Reference in New Issue View Git Blame Copy Permalink