ansible 实现巡检自动化_SecYe安全 - 网络信息安全IT技术门户（网络安全、黑客防御、信息安全、编程开发、系统知识）

ansible 实现巡检自动化

时间：2018-04-10 10:28 来源：http://blog.51cto.com/fsckyl/2 作者：SecYe安全阅读：次

ansible是新出现的自动化运维工具，基于Python开发，集合了众多运维工具（puppet、cfengine、chef、func、fabric）的优点，实现了批量系统配置、批量程序部署、批量运行命令等功能。

安装

RHEL/CentOS

//yum安装

    
            #yum install epel-release -y && yum install ansible -y

如果是内网服务器，没有联网权限。则在虚拟机内使用如下命令，只下载不安装

    
            #yum -y install --downloadonly --downloaddir=/tmp/ ansible

则将安装包下载到/tmp目录下，再拷贝rpm到目标服务器，rpm进行安装

    
            #rpm -ivh *.rpm

初始化

远程连接概述

在我们开始前要先理解Ansible是如何通过SSH与远程服务器连接是很重要的.

Ansible 1.3及之后的版本默认会在本地的 OpenSSH可用时会尝试用其进行远程通讯.

简单的说，在一台主机上安装 Ansible ，将其他服务器ip添加到配置文件中，通过密钥免密码登录。可以批量执行命令，批量上传下载文件、文件夹等。

以下为实际例子

管理机A: CentOS 7.4 192.168.153.22

被管理机B：Red Hat 6.7 192.168.153.11

被管理机C：SuSE 11 sp3 192.168.153.151

被管理机上均设置普通用户xx，密码为a。root不能直接登录，需先登录xx，再su切换到root。

首先将被管理主机添加到Ansible配置文件 hosts中

# vim /etc/ansible/hosts

    
            [test]
192.168.153.11 ansible_ssh_user=xx ansible_ssh_pass=a ansible_su_pass=aaaaaa
192.168.153.151 ansible_ssh_user=xx ansible_ssh_pass=a ansible_su_pass=a

[test]是一个分组，test代表组内的两台机器

因为root不能直接登录，所以配置文件里面要写上普通用户的用户名、密码。及root密码。

测试一下添加成功没：

从上面的输出提示上基本可以了解到由于在本机的~/.ssh/known_hosts文件中并有fingerprint key串，ssh第一次连接的时候一般会提示输入yes 进行确认为将key字符串加入到 ~/.ssh/known_hosts 文件中。

在ansible.cfg配置文件中，也会找到如下部分：

    
            1. # uncomment this to disable SSH key host checking
2. host_key_checking = False

默认host_key_checking部分是注释的，通过找开该行的注释，同样也可以实现跳过 ssh 首次连接提示验证部分。

重新测试一次

常用模块

获取模块列表：ansible-doc –l

获取模块帮助：ansible-doc -s command

模块一：测试目标主机是否在线：ping模块

主机如果在线，则回复pong

模块二：command模块和shell

作用：用于在各被管理节点运行指定的命令

shell和command的区别：shell模块可以特殊字符，而command是不支持

模块三：复制文件copy模块

作用：用于将文件批量传送到所有被管理机

以上命令就是把本地机器的/tmp/目录下的xx，传送到所有服务器下，并且设置权限为755.

查看以下是否上传成功。

其余还有很多模块，上网查阅即可

普通用户 su 到root

我们是通过ssh交互的，那服务器不允许通过root直接登录，所以我们当前的权限是普通用户。如下图：

Ansible 支持切换到root，用法如下：

Playbook

playbooks 是一种简单的配置管理系统与多机器部署系统的基础.与现有的其他系统有不同之处,且非常适合于复杂应用的部署.

Playbooks 可用于声明配置,更强大的地方在于,在 playbooks 中可以编排有序的执行过程,甚至于做到在多组机器间,来回有序的执行特别指定的步骤.并且可以同步或异步的发起任务.

我们使用 adhoc 时,主要是使用 /usr/bin/ansible 程序执行任务.而使用 playbooks 时,更多是将之放入源码控制之中,用之推送你的配置或是用于确认你的远程系统的配置是否符合配置规范.

个人理解，playbooks就像一个shell脚本一样，把需要执行的任务都写到一个文件里面执行。

实战

1.批量上传+设置crontab

需求1：有2个文件 cpumonitor.sh iomonitor.sh 需要上传到各个服务器上的/opt目录下，并且设置定时任务

* * * * * /opt/cpumonitor.sh

* * * * * /opt/iomonitor.sh

使用ansible如何去做呢？1是上传文件，2是设置定时任务

    
            ansible test -b --become-method=su -m copy -a “src=/tmp/cpumonitor.sh dest=/opt/cpumonitor owner=root group=root mode=0755”
ansible test -b --become-method=su -m copy -a “src=/tmp/iomonitor.sh dest=/opt/cpumonitor owner=root group=root mode=0755”

执行成功

设置定时任务怎么设置呢？

    
            ansible test -b --become-method=su -m cron -a "minute=* job=/opt/cpumonitor.sh"
ansible test -b --become-method=su -m cron -a "minute=* job=/opt/iomonitor.sh"

查看一下是否设置成功

如果是写成playbooks就要这样写：

    
            
            ---                              # --- 是yaml要求格式
- hosts: test                  # 要执行的分组，这里要对test分组进行测试
  remote_user: xx        #登录用户是啥，xx
  become: yes             #是否要提升权限
  become_method: su #这里使用su，也可以设置sudo等等
  
tasks:
- name: transfer file to server
  copy:
    src: /tmp/iomonitor.sh
    dest: /opt/iomonitor.sh
    owner: root
    group: root
    mode: 0755
  
  
- name: transfer file to server
  copy:
    src: /tmp/cpumonitor.sh
    dest: /opt/cpumonitor.sh
    owner: root
    group: root
    mode: 0755
  
- cron:
    name: "cti cpumonitor"
    minute: '*'
    job:  "/opt/cpumonitor.sh"
  
- cron:
    name: "cti iomonitor"
    minute: '*'
    job:  "/opt/iomonitor.sh"

        

执行：

设置成功

2批量上传+执行脚本+下载巡检报告

上传脚本文件名为xunjian.sh,执行后在/tmp/下生成一个logs/*.txt文件。

写一个playbooks，将巡检脚本xunjian.sh上传到所有服务器，自动执行，并自动下载到*.txt本地。

代码如下：

    
            
            ---
- hosts: test
  remote_user: xx
  become: yes
  become_method: su
  
  tasks:
  - name: transfer file to server
    copy: src=/root/xunjian.sh dest=/tmp/xunjian.sh mode=0755
  #上面这个是上传巡检脚本到/tmp/目录下，并设置755选项
  - name: execute the script
    shell: /bin/bash  /tmp/xunjian.sh
  # 执行脚本
  - name: fucking
    find:
      paths: /tmp/log/
      patterns: "*"
      recurse: no
    register: file_2_fetch
  
  - name: fuck your bitch
    fetch:
      src: "{{ item.path }}"
      dest: /tmp/
      flat: yes
with_items: "{{ file_2_fetch.files }}"

        

上面这两段就是到/tmp/log/目录下，find 查找文件，然后下载回本地。执行结果如下：

本文来源：SecYe安全网[http://www.secye.com] (责任编辑：SecYe安全)

点击复制链接与好友分享!

顶一下

(0)

踩一下

(0)

上一篇：黑客破解密码的几种方式其中有哪几种方式是你知道的
下一篇：扫描工具-QWASP_ZAP