Die Zusammenarbeit im Unternehmen wird immer dynamischer und flexibler. Aus diesem Grund wirft IT-Administrator in der April-Ausgabe einen Blick auf die ... (mehr)

Vorsicht vor Aussperren

Per Default führt Debops für alle Hosts das Playbook "common.yml" (in unserem Fall "/opt/debops/debops-playbooks/playbooks/common.yml") aus, das eine ganze Reihe von Software-Paketen installiert, darunter eine Firewall und den TCP-Wrapper, der den Zugriff auf den Rechner kontrolliert. Hier ist Vorsicht geboten, denn in der Standard-Konfiguration führte das im Test dazu, dass kein Remote-Zugriff mehr möglich war.

Die Installation des TCP-Wrappers lässt sich zwar ausschalten, aber das nützt nichts, weil er als Abhängigkeit der MariaDB-Server-Rolle wieder ins Spiel kommt. Also müssen Sie die Default-Einstellung, alle Zugriffe zu verbieten, abschalten. Dazu fügen Sie in die Datei "./ansible/inventory/group_vars/all/debops.tcpwrappers.yml" diese Zeile ein:

tcpwrappers_deny_all: False

Root-Passwort für MariaDB

Analog gehen Sie vor, um das Root-Passwort der MariaDB-Datenbank zu setzen. Dies können Sie wie beim TCP-Wrapper global oder hostbasiert tun. Für Letzteres verwenden Sie die Datei "./ansible/inventory/host_vars/node3.cloud.net/debops. mariadb_server.yml", in die Sie diese Zeile einfügen:

mariadb_server_root_password: 'geheim'

Rufen Sie jetzt "debops" auf, liest das Tool zuerst die Datei "/opt/debops/debops-playbooks/playbooks/site.yml" und wendet alle auf die im Inventory "./ansible/inventory/hosts" konfigurierten Hosts zutreffenden Playbooks an. Wenn Sie Sudo verwenden, müssen Sie "debops" mit dem Schalter "-b" (become) aufrufen und vorher Ansible über die Datei ".debops.cfg" entsprechend konfigurieren:

[ansible defaults]
become=True
become_user=ubuntu
;become_ask_pass=True
become_method=sudo

Je nachdem, ob der verwendete Benutzer-Account ein Sudo-Passwort verwendet oder nicht, setzen Sie auch die Option "become_ask_pass". Ist sie aktiviert, fragen Debops respektive Ansible nach dem Sudo-Passwort.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2021