最近手里的数百台服务器需要改/etc/ssh/sshd_config的参数,禁止root直接登陆,也就是说

[root@t0 ~]# cat /etc/ssh/sshd_config | grep Root

#PermitRootLogin yes

得改成

[root@t1 ~]# cat /etc/ssh/sshd_config| grep ^PermitRoot

PermitRootLogin no

一台台登上去改简直要死,ansible自动化运维工具听说还不错,之前就会用命令直接使用shell模块执行sed 替换配置文件里面的参数

[root@t0 ansible]# ansible all -b --become-method=su --become-user=root -m shell -a "sed 's/PermitRootLogin yes/PermitRootLogin no/g' /etc/ssh/sshd_config" | grep -E "Root|10.0"

 [WARNING]: Consider using the replace, lineinfile or template module rather than running sed.  If you need to use

command because replace, lineinfile or template is insufficient you can add warn=False to this command task or set

command_warnings=False in ansible.cfg to get rid of this message.

10.0.0.52 | CHANGED | rc= >>

#    $OpenBSD: sshd_config,v 1.93 // :: djm Exp $

PermitRootLogin no

# the setting of "PermitRootLogin without-password".

10.0.0.53 | CHANGED | rc= >>

#    $OpenBSD: sshd_config,v 1.93 // :: djm Exp $

PermitRootLogin no

# the setting of "PermitRootLogin without-password".

大概看个效果,这样做不仅效率低,而且你不能保证每台服务器的配置文件都是

#PermitRootLogin yes

也有可能是PermitRootLogin yes

所以不一定能达到自己的要求

然后根据提示信息,我看到了
replace, lineinfile template这三个模块
感兴趣的朋友可以自行研究一下
我今天用的是playbook用正则表达式匹配要更改的项
首先自己写一个playbook
[root@t0 playbook]# cat change_ssh.yml

---

- hosts: test

  gather_facts: false

#  become: yes

#  become_method: su

  remote_user: root

  tasks:

  - name: "change file"

    lineinfile:

      path: /etc/ssh/sshd_config

      regexp: '^PermitRootLogin'

      line: 'PermitRootLogin yes'

      state: present

#    notify: restart sshd

#      handlers:

#        - name: restart sshd

#            service: name=sshd state=restarted


之前写的是没有注释的那些,注释的内容是我后来加上去的,待会再解释注释的意思


然后我的hosts文件




[root@t0 playbook]# cat ../hosts

#[localhost]

#127.0.0.1

[test]

10.0.0.52

10.0.0.53

[test:vars]

ansible_ssh_pass=

ansible_ssh_user=test

ansible_become_pass=




执行以下命令




[root@t0 playbook]# ansible-playbook change_ssh.yml 

PLAY [test] ************************************************************************************************************

TASK [change file] *****************************************************************************************************

fatal: [10.0.0.53]: FAILED! => {"changed": false, "module_stderr": "Shared connection to 10.0.0.53 closed.\r\n", "module_stdout": "Traceback (most recent call last):\r\n  File \"/home/test/.ansible/tmp/ansible-tmp-1555555638.07-154814815296297/AnsiballZ_lineinfile.py\", line 113, in <module>\r\n    _ansiballz_main()\r\n  File \"/home/test/.ansible/tmp/ansible-tmp-1555555638.07-154814815296297/AnsiballZ_lineinfile.py\", line 105, in _ansiballz_main\r\n    invoke_module(zipped_mod, temp_path, ANSIBALLZ_PARAMS)\r\n  File \"/home/test/.ansible/tmp/ansible-tmp-1555555638.07-154814815296297/AnsiballZ_lineinfile.py\", line 48, in invoke_module\r\n    imp.load_module('__main__', mod, module, MOD_DESC)\r\n  File \"/tmp/ansible_lineinfile_payload_1q9ATP/__main__.py\", line 524, in <module>\r\n  File \"/tmp/ansible_lineinfile_payload_1q9ATP/__main__.py\", line 515, in main\r\n  File \"/tmp/ansible_lineinfile_payload_1q9ATP/__main__.py\", line 257, in present\r\nIOError: [Errno 13] Permission denied: '/etc/ssh/sshd_config'\r\n", "msg": "MODULE FAILURE\nSee stdout/stderr for the exact error", "rc": }

fatal: [10.0.0.52]: FAILED! => {"changed": false, "module_stderr": "Shared connection to 10.0.0.52 closed.\r\n", "module_stdout": "Traceback (most recent call last):\r\n  File \"/home/test/.ansible/tmp/ansible-tmp-1555555638.06-7599860498373/AnsiballZ_lineinfile.py\", line 113, in <module>\r\n    _ansiballz_main()\r\n  File \"/home/test/.ansible/tmp/ansible-tmp-1555555638.06-7599860498373/AnsiballZ_lineinfile.py\", line 105, in _ansiballz_main\r\n    invoke_module(zipped_mod, temp_path, ANSIBALLZ_PARAMS)\r\n  File \"/home/test/.ansible/tmp/ansible-tmp-1555555638.06-7599860498373/AnsiballZ_lineinfile.py\", line 48, in invoke_module\r\n    imp.load_module('__main__', mod, module, MOD_DESC)\r\n  File \"/tmp/ansible_lineinfile_payload_5xlcxo/__main__.py\", line 524, in <module>\r\n  File \"/tmp/ansible_lineinfile_payload_5xlcxo/__main__.py\", line 515, in main\r\n  File \"/tmp/ansible_lineinfile_payload_5xlcxo/__main__.py\", line 257, in present\r\nIOError: [Errno 13] Permission denied: '/etc/ssh/sshd_config'\r\n", "msg": "MODULE FAILURE\nSee stdout/stderr for the exact error", "rc": }

    to retry, use: --limit @/etc/ansible/playbook/change_ssh.retry

PLAY RECAP *************************************************************************************************************

10.0.0.52                  : ok=    changed=    unreachable=    failed=

10.0.0.53                  : ok=    changed=    unreachable=    failed=   




结果是失败的,根据报错信息




IOError: [Errno ] Permission denied: '/etc/ssh/sshd_config'




怀疑是权限的问题,因为根据我的hosts文件,默认是普通用户test去执行,所以在playbook里面加上两行




#  become: yes

#  become_method: su




意思就是,我ansible远程操作的时候,用户使用的时管理员的权限,然后再次执行




[root@t0 playbook]# ansible-playbook change_ssh.yml 

PLAY [test] ************************************************************************************************************

TASK [change file] *****************************************************************************************************

changed: [10.0.0.52]

changed: [10.0.0.53]

PLAY RECAP *************************************************************************************************************

10.0.0.52                  : ok=    changed=    unreachable=    failed=

10.0.0.53                  : ok=    changed=    unreachable=    failed=   




查看远程主机的配置文件




[root@t1 ~]# cat /etc/ssh/sshd_config| grep ^PermitRoot

PermitRootLogin no




说明已经改成功了,但是如果配置文件有其他的设置,我们还需要其他的正则,而且sshd的配置文件改完之后需要重启才能生效,所以需要一个触发器,playbook需要做一下调整




---

#- hosts: 'test:!c2'
- hosts: c2
#- hosts: "`hosts`"

  gather_facts: false

  become: yes

  become_method: su

  remote_user: root

  tasks:

  - name: 'change sshd_config'

    lineinfile:

      dest: /etc/ssh/sshd_config

      regexp: "{{ item.regexp }}"

      line: "{{ item.line }}"

      state: present

    with_items:

#In this way

#    - { regexp: "^#PermitRootLogin yes",line: "PermitRootLogin no" }

#or

#    - regexp: "^#PermitRootLogin yes"

#      line: "PermitRootLogin no"

#Both methods have the same effect

    - { regexp: "PermitRootLogin yes",line: "PermitRootLogin no" }

    notify: restart sshd

  handlers:

    - name: restart sshd

      service: name=sshd state=restarted




总结:1. ansible如果hosts文件写的ansible_user时普通用户的时候,远程操作需要管理员权限,需要become的




  become: yes

  become_method: su




或者是




  become: yes

  become_method: sudo

  remote_user: test




  2. 执行完操作之后,利用触发器notify重启sshd服务


  3. 需要继续学习,谢谢
												


											
ansible playbook批量改ssh配置文件,远程用户Permission denied的更多相关文章
	

    
								
  1. Ansible playbook 批量修改服务器密码 先普通后root用户
		
    fsckzy   Ansible playbook 批量修改服务器密码 客户的需求:修改所有服务器密码,密码规则为Rfv5%+主机名后3位 背景:服务器有CentOS6.7,SuSE9.10.11,r ...
    
		
    2. 
						
  2. [转载] Ubuntu 12.04下安装git,SSH及出现的Permission denied解决办法
		
    如何安装ssh http://os.51cto.com/art/201109/291634.htm 仅需要阅读至成功开启ssh服务即可 http://www.linuxidc.com/Linux/20 ...
    
		
    3. 
						
  3. 记一次root用户在本地登录及SSH连接均遭遇permission denied的问题排查经过
		
    某日一位老师反映,机房的6号节点无法登录了.一开始以为是为节点防火墙配置IP白名单时忘记了加进去,但随后发现此节点并未进行白名单配置,密码也一直未有变更,于是在自己的电脑上连接,发现终端里很快显示出了 ...
    
		
    4. 
						
  4. ssh免密码登录Permission denied (publickey,gssapi-keyex,gssapi-with-mic) 的解决方案!
		
    当出现Permission denied (publickey,gssapi-keyex,gssapi-with-mic) 警告的时候,恭喜你,你已经离成功很近了. 远程主机这里设为slave2,用户 ...
    
		
    5. 
						
  5. Mac ssh 连接报错 Permission denied (publickey)
		
    用的阿里云服务器,如果直接连接,会报下面错误: $ ssh root@47.94.132.115 Permission denied (publickey). 创建服务器的时候,连接秘钥会生成并下载到 ...
    
		
    6. 
						
  6. linux环境中,ssh登录报错,Permission denied, please try again.
		
    问题描述: 今天早上一个同事反应一个问题,通过ssh登录一台测试机的时候,发现两个账号,都是普通账号,一个账号能够登录, 另外一个账号无法登录.问他之前有做过什么变更吗,提到的就是之前有升级过open ...
    
		
    7. 
						
  7. Debian8 远程登录Permission Denied,please try again
		
    多数是系统没有开启Root登录的权限. 修改root的ssh权限: ① vi /etc/ssh/sshd_config ② 找到配置项PermitRootLogin 将此项的值改为yes ③ 重启ss ...
    
		
    8. 
						
  8. 使用ssh连接数据库时出现Permission denied, please try again.解决方案
		
    安装ssh(如果已经安装则会覆盖)sudo apt-get install openssh-server找到/etc/ssh/sshd_config这个文件 将permitrootlogin的值设置为 ...
    
		
    9. 
						
  9. 关于git的ssh permission denied原因汇总
		
    SSH关于公钥认证Permission denied (publickey,gssapi-with-mic的问题 http://h2appy.blog.51cto.com/609721/1112797 ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. mysq建表参数设置
			
    建表的完整性约束: not null 与 default unique primary auto_increment foreign key 外键的变种  三种关系 一.介绍 约束条件与数据类型的宽度 ...
    
			
    2. 
						
  2. 开启telnet
			
    title: 开启telnet data; 2019/3/19 17:35:33 --- 开启telnet 添加root用户 adduser root 按照提示新增文件 /etc/passwd /et ...
    
			
    3. 
						
  3. 第31月第15天  -fembed-bitcode
			
    1. 确保打包的时候使用的是fembed-bitcode, 而不是fembed-bitcode-maker fembed-bitcode-maker:只是简单的标记一下在archive出来的二进制中b ...
    
			
    4. 
						
  4. 在页面加载前先出现加载loading,页面加载完成之后再显示页面
			
    在此加入一个关于页面加载成功之前先展现一个loading的案例: 如下代码写入js里放在html头部即可实现需求:添加的可以自己在css文件设置宽高,也可以放入一个background的gif的loa ...
    
			
    5. 
						
  5. Python中区分函数和方法
			
    1.简单粗暴型: def func(): ... class Foo: def eat(self): print("吃") f = Foo() print(func) #<f ...
    
			
    6. 
						
  6. mysql删除表结构中的“关键字”字段
			
    问题描述:一同事误将“describe”关键字放入建表语句中,虽成功建表,但因未关键词的缘故,无法插入数据.故需将字段drop并换为非关键字的字段. 解决过程: 按常规删除字段语句操作报错,语句如下: ...
    
			
    7. 
						
  7. 2018-2019-2 20165325《网络对抗技术》Exp0 Kali安装 Week1
			
    2018-2019-2 20165325<网络对抗技术>Exp0 Kali安装 Week1 一.安装kali VMware上学期已经有了,主要是下载Kali-Linux-2019.1-vm ...
    
			
    8. 
						
  8. 关于t,f test
			
    我也是佛了 这么基础的概念其实每次都会搞混一些 首先我们针对variance求一个estimator s 然后对于任意置信区间 (sample mean +- 你所需的置信百分比的t * SE(SE就 ...
    
			
    9. 
						
  9. SQL server查询语句
			
    作者:邓聪聪 mysql部分语句的查询,持续更新 系统函数 函数名 描述 举例 convert() 数据类型转换 selece convert(varchar(5),12345) 返回:字符串1234 ...
    
			
    10. 
						
  10. Java中的String、StringBuilder以及StringBuffer
			
    https://www.cnblogs.com/dolphin0520/p/3778589.html
    
			
    11.