Кто нибудь использовал ansible для управления конфигурациями на ОС Astra

Linux 1.7.3 Воронеж - после разворачивания ОС из коробки он не подключается, хотя по ssh работает отлично. Become и -bK ключи в наличии. Как победить проблему отлупа ансибла?

Ошибка Make sure this host can be reached over ssh: Permission denied (publickey,password).

19 ответов

145 просмотров

а на таргет-машине какие логи аутентификации?

Konstantin-Sch. Автор вопроса

Oct 31 16:01:20 rsa-dtm-agent-01 sshd[1017]: Connection closed by 172.16.52.126 port 62496 [preauth] Oct 31 16:01:20 rsa-dtm-agent-01 audit[1017]: USER_LOGIN pid=1017 uid=0 auid=4294967295 ses=4294967295 subj=0:63:0:0 msg='op=login acct="superuser" exe="/usr/sbin/sshd" hostname=? addr=172.16.52.126 terminal=sshd res=failed' Oct 31 16:01:20 rsa-dtm-agent-01 sshd[1017]: Connection closed by 172.16.52.126 port 62496 [preauth] Oct 31 16:01:20 rsa-dtm-agent-01 audit[1017]: USER_ERR pid=1017 uid=0 auid=4294967295 ses=4294967295 subj=0:63:0:0 msg='op=PAM:bad_ident grantors=? acct="?" exe="/usr/sbin/sshd" hostname=172.16.52.126 addr=172.16.52.126 terminal=ssh res=failed' Oct 31 16:01:20 rsa-dtm-agent-01 audit[1019]: USER_LOGIN pid=1019 uid=0 auid=4294967295 ses=4294967295 subj=0:63:0:0 msg='op=login acct="superuser" exe="/usr/sbin/sshd" hostname=? addr=172.16.52.126 terminal=sshd res=failed' Oct 31 16:01:20 rsa-dtm-agent-01 sshd[1019]: Connection closed by 172.16.52.126 port 62497 [preauth] Oct 31 16:01:20 rsa-dtm-agent-01 sshd[1019]: Connection closed by 172.16.52.126 port 62497 [preauth] Oct 31 16:01:20 rsa-dtm-agent-01 audit[1019]: USER_ERR pid=1019 uid=0 auid=4294967295 ses=4294967295 subj=0:63:0:0 msg='op=PAM:bad_ident grantors=? acct="?" exe="/usr/sbin/sshd" hostname=172.16.52.126 addr=172.16.52.126 terminal=ssh res=failed'

Konstantin-Sch. Автор вопроса
Konstantin Sch.
Oct 31 16:01:20 rsa-dtm-agent-01 sshd[1017]: Conne...

в Астре куча своих систем защиты, предполагаю, что они не дают запускать плейбуки. При этом по ssh хожу, всё что нужно мне доступно. Уровень целостности 63 - эта штука с максимальным доступом в Астре.

Konstantin Sch.
Oct 31 16:01:20 rsa-dtm-agent-01 sshd[1017]: Conne...

А судо без пароля? А если с паролем, то он задан?

Konstantin Sch.
С паролем, задан

Попробуйте запустить ansible с -vvv

Konstantin-Sch. Автор вопроса
Dmitriy Kuvshinov
Попробуйте запустить ansible с -vvv

ну как бы вот <rsa-dtm-agent-01> Attempting python interpreter discovery <172.16.230.68> ESTABLISH SSH CONNECTION FOR USER: superuser <172.16.230.68> SSH: EXEC ssh -o ControlMaster=auto -o ControlPersist=600s -o StrictHostKeyChecking=no -o KbdInteractiveAuthentication=no -o PreferredAuthentications=gssapi-with-mic,gssapi-keyex,hostbased,publickey -o PasswordAuthentication=no -o 'User="superuser"' -o ConnectTimeout=10 -o ControlPath=/home/myuser/.ansible/cp/e69978cad1 172.16.230.68 '/bin/sh -c '"'"'echo PLATFORM; uname; echo FOUND; command -v '"'"'"'"'"'"'"'"'/usr/bin/python'"'"'"'"'"'"'"'"'; command -v '"'"'"'"'"'"'"'"'python3.7'"'"'"'"'"'"'"'"'; command -v '"'"'"'"'"'"'"'"'python3.6'"'"'"'"'"'"'"'"'; command -v '"'"'"'"'"'"'"'"'python3.5'"'"'"'"'"'"'"'"'; command -v '"'"'"'"'"'"'"'"'python2.7'"'"'"'"'"'"'"'"'; command -v '"'"'"'"'"'"'"'"'python2.6'"'"'"'"'"'"'"'"'; command -v '"'"'"'"'"'"'"'"'/usr/libexec/platform-python'"'"'"'"'"'"'"'"'; command -v '"'"'"'"'"'"'"'"'/usr/bin/python3'"'"'"'"'"'"'"'"'; command -v '"'"'"'"'"'"'"'"'python'"'"'"'"'"'"'"'"'; echo ENDFOUND && sleep 0'"'"'' <172.16.230.68> (255, b'', b'Permission denied (publickey,password).\r\n') [WARNING]: Unhandled error in Python interpreter discovery for host rsa-dtm-agent-01: Failed to connect to the host via ssh: Permission denied (publickey,password). Using module file /usr/local/lib/python3.6/site-packages/ansible/modules/setup.py Pipelining is enabled. <172.16.230.68> ESTABLISH SSH CONNECTION FOR USER: superuser <172.16.230.68> SSH: EXEC ssh -o ControlMaster=auto -o ControlPersist=600s -o StrictHostKeyChecking=no -o KbdInteractiveAuthentication=no -o PreferredAuthentications=gssapi-with-mic,gssapi-keyex,hostbased,publickey -o PasswordAuthentication=no -o 'User="superuser"' -o ConnectTimeout=10 -o ControlPath=/home/myuser/.ansible/cp/e69978cad1 172.16.230.68 '/bin/sh -c '"'"'sudo -H -S -p "[sudo via ansible, key=jtujlgyohlgbttbrpfhgvhjunwkplzxe] password:" -u root /bin/sh -c '"'"'"'"'"'"'"'"'echo BECOME-SUCCESS-jtujlgyohlgbttbrpfhgvhjunwkplzxe ; /usr/bin/python'"'"'"'"'"'"'"'"' && sleep 0'"'"'' fatal: [rsa-dtm-agent-01]: UNREACHABLE! => changed=false msg: |- Data could not be sent to remote host "172.16.230.68". Make sure this host can be reached over ssh: Permission denied (publickey,password). unreachable: true

Konstantin-Sch. Автор вопроса

о, где почитать как это делается?

Konstantin-Sch. Автор вопроса

Спасибо, поправил

Konstantin Sch.
Спасибо, поправил

а просто по ключу так же пользователя superuser по ssh пускает нормально? не по паролю. Ну и путь к интерпретатору python проверить, и права sudo. Как будто бы на ключ ругается, или sudo прав нет. Нужно ещё более verbose сделать.

Konstantin-Sch. Автор вопроса
Kirill Baranov
а просто по ключу так же пользователя superuser по...

ключ не делал специально, нужно по паролю. Потом после первоначальной настройки ОС плейбуками этот пользователь удаляется.

Когда запускаете -vvv там есть команда ssh подключения Повторите все локально

Konstantin-Sch. Автор вопроса
Kirill Baranov
а просто по ключу так же пользователя superuser по...

vvvv правила канала не разрешают скинуть

Konstantin-Sch. Автор вопроса
Dmitriy Kuvshinov
Когда запускаете -vvv там есть команда ssh подключ...

так же пишет Permission denied (publickey,password). Короче мистика, по ssh то меня пускает же на машину.

Konstantin Sch.
так же пишет Permission denied (publickey,password...

Так запустите с теми же опциями, что и ansible

Konstantin-Sch. Автор вопроса

Похожие вопросы

Обсуждают сегодня

Добрый вечер, Пока не совсем понимаю как наладить общение между телеграм ботом и ПО для работы с сим боксом. По самому боту так понял: - Нужен некий баланс, который можно поп...
Magic
6
сделал сайт, прикрутил в боте сайт, и виджет логина. как автоматически логинить пользователя в аккаунт(телеграм), при входе с бота?
Александра Чернивецкая
5
Объясните, пожалуйста, почему компилятор ругается на использование в условии неинициализированной переменной: int x; Task.Run(async () => { x = await somefunc(); }).Wait...
Александр
5
Ребят, подскажите, пожалуйста, почему в префиксе к ассетам, которые генерируются через фильтр | theme в шаблоне, стал вдруг появляться index.php? Вот так выглядит ссылка на а...
Виталий
1
Всем привет. Ребята, подскажите, пожалуйста. у ботов есть ограничение на отправку сообщений - 30 сообщений в секунду, эти ограничения накладываются на все сообщения? или на со...
Artem Stormageddon
4
Блин, ребята, сори за тупые вопросы. А можно ли как-то открыть вебапку по нажатию на кнопку в меню(которое появляется слева, команды)?
Artem Stormageddon
3
а плаксы из-под питона умеют только в комфортных условиях что-то выдавить из себя?)
Lencore
9
Но, может, есть уже проверенная? Наши требования такие: 1. Сообщения должны приходить из Инста в CRM оду 2. Должна быть возможность подключить несколько экаунтов Инстаграм. Р...
Alexander Sharoiko MSE / Александр Шаройко
13
Это может быть все-таки не флудвейт? у меня ботфазер принимает изменения и отображает даже что они изменились, на видео видно что он прислал якобы уже измененное описание, н...
OVERLINK
13
Коллеги, может знает кто, можно ли цвет бейджа счётчика в BackendMenu менять без бубнов?
Alex Blaze
3
Карта сайта