Wpis z mikrobloga

Skopiuj link

konto usunięte 28.11.2022, 22:00:08

#ansible #sysadmin #devops #security
Tak przegladam poradniki do ansibla i zastawia mnie jedna rzecz czy czasem nie jest powielany ciagle ten sam blad w wszystkich tutorialach aby dodac w ansible.cfg

[defaults]
host_key_checking = False

albo ssh -o "StrictHostKeyChecking no" przy bezposrednim polaczeniu

a dlaczego prawie nikt tego nie daje?

[ssh_connection]
ssh_args = -o StrictHostKeyChecking=accept-new

* ssh(1): expand the StrictHostKeyChecking option with two new

settings. The first "accept-new" will automatically accept

hitherto-unseen keys but will refuse connections for changed or

invalid hostkeys. This is a safer subset of the current behaviour

of StrictHostKeyChecking=no. The second setting "off", is a synonym

for the current behaviour of StrictHostKeyChecking=no: accept new

host keys, and continue connection for hosts with incorrect

hostkeys. A future release will change the meaning of

StrictHostKeyChecking=no to the behaviour of "accept-new". bz#2400

https://www.openssh.com/releasenotes.html

To nie pierwszy raz kiedy widze na stackoverflow zle rady najbardziej plusowane.

Verbatino

28.11.2022, 22:26:10

@open-alpha: Może dlatego, że w przyszłości ten parametr będzie miał tą samą właściwość... co zresztą jest opisane w cytowanej przez Ciebie dokumentacji:

(...) A future release will change the meaning of StrictHostKeyChecking=no to the behaviour of "accept-new

( ͡° ͜ʖ ͡°)

o.....a

konto usunięte 28.11.2022, 22:28:39

@Verbatino: niby tak ale zapowiedzi dalej nie widac, opcja jest od 2017 roku...

Verbatino

28.11.2022, 22:33:39

@open-alpha: No ale to jest funkcjonalność i tak dla nowych hostów... więc jej znacznie jest marginalne skoro i tak dużo bezpieczniej dla takiej konfiguracji będzie ustawić ask.

o.....a

konto usunięte 28.11.2022, 22:34:30

@Verbatino: ale 'ask' moze byc problematyczne przy automatyzacji

Verbatino

28.11.2022, 22:34:59

@open-alpha: Chcesz automatycznie wpuszczać nieznane hosty?

o.....a

konto usunięte 28.11.2022, 22:37:55

@Verbatino: Destination powinno byc znane zawsze (bo to ja sie lacze nie oni do mnie) ale to jest glebsze pytanie

Verbatino

28.11.2022, 22:45:26

@open-alpha: Tym bardziej temat się nie klei ( ͡° ͜ʖ ͡°)

o.....a

konto usunięte 28.11.2022, 22:46:47

@Verbatino: za duzo ansibla na dzisiaj

nairamk

28.11.2022, 22:51:55

@open-alpha: to raczej standard w wszelkiej automatyzacji.
Nie chcesz żadnych zapytań w shell'u o akceptacje podczas inicjalizacji połączenia przez skrypty.
... bo się po prostu wywali

w ssh StrictHostKeyChecking przestaje mieć sens głównie z powodu kontenerów i ich

o.....a

konto usunięte 28.11.2022, 22:53:52

accept-new pomaga tylko wtedy jak łączysz się pierwszy raz, jak będzie różny fingerprint to i tak się automatyzacja/ansible wywali.

@nairamk: tak, racja

Aktywne Wpisy

Sonny86

Sonny86 +97

2 godz. i 52 min temu

#heheszki #humorobrazkowy

Jogi4

Jogi4 +26

2 godz. i 56 min temu

Dlaczego jak płacę za butelkę wody, to płacę tą zasraną kaucję pieniędzmi, które mógłbym wydać w każdy inny sposób, w każdym innym miejscu. Dlaczego natomiast te pieniądze są "zwrcane" jako bon do konkretnego sklepu, w którym zwram te butelki. Według mnie to i tak jest wymuszenie bo nie mogę wtedy tych pieniędzy wydać jak ja chcę, tylko jestem zmuszony do wydania w konkretny sposób

#kaucja #panstwozdykty

Aktywne Wpisy

Aktywne Znaleziska

Jensen Huang krytykuje OpenAI i wstrzymuje największą inwestycję w historii NVID

Fundament Linuksa zagrożony. Wielkie firmy korzystają

Najzimniejsza noc w roku w namiocie ogrzewanym piecem - Biwakowy

Reportaż czeskiej telewizji o polskim "cudzie gospodarczym"

Biedronka ucięła premie pracownikom, bo w styczniu było zimno

Popularne tagi