1.分发公钥:ansible使用authorized_key模块分发ansible控制机上的ssh公钥,文件是/root/.ssh/id_rsa.pub 公钥,分发到远端节点的authorized_keys 文件中,实现免密登录。
--- - name: 为jenkins组节点配置root用户免密SSH登录 hosts: jenkins # 匹配inventory中jenkins组的节点 remote_user: root # 远程执行用户(建议用有sudo权限的普通用户,更安全) gather_facts: false # 无需收集节点信息,加快执行速度 tasks: - name: 将控制节点的公钥添加到目标节点root用户的authorized_keys ansible.builtin.authorized_key: user: root # 目标节点的用户(要配置免密的用户) state: present # 确保公钥存在(默认值,可省略) key: "{{ lookup('file', '/root/.ssh/id_rsa.pub') }}" # 读取控制节点的公钥文件 exclusive: false # 不删除其他已存在的公钥(重要,避免误删) manage_dir: true # 自动创建.ssh目录并设置正确权限(700)| 参数 | 作用 | 注意事项 |
|---|---|---|
hosts: jenkins | 指定要执行的目标节点组(需在 Ansible inventory 文件中定义 jenkins 组) | 确保 inventory 中 jenkins 组包含正确的节点 IP / 主机名 |
remote_user: root | 远程登录目标节点的用户 | 生产环境建议用普通用户(如 ansible)+ sudo,避免直接用 root |
authorized_key | Ansible 内置模块,用于管理 SSH 授权密钥 | 比手动拷贝更安全,自动处理权限问题 |
user: root | 目标节点上要配置免密的用户(这里是 root) | 若要给普通用户配置,改为对应用户名(如 jenkins) |
key: "{{ lookup('file', ...) }}" | 读取控制节点本地的公钥文件内容 | 确保控制节点存在/root/.ssh/id_rsa.pub文件,若不存在先执行ssh-keygen -t rsa生成 |
manage_dir: true | 自动创建目标用户的~/.ssh 目录,权限设为 700 | 避免因目录不存在或权限错误导致免密失败 |
exclusive: false | 保留目标节点已有的其他公钥 | 若设为 true,会删除该用户所有其他公钥,极其危险! |
2.删除不再使用的公钥,通过ansible实现批量清理特定免密登录权限的目的
--- - name: 从目标节点移除指定的SSH公钥 hosts: jenkins # 匹配两个组的所有节点 become: yes # 提权到root(确保有修改/root/.ssh的权限) gather_facts: false # 无需收集节点信息,加快执行速度 tasks: - name: 移除root用户下指定的SSH公钥 ansible.builtin.authorized_key: user: root # 目标用户(要清理公钥的用户) state: absent # 标记为移除(核心参数) key: "ssh-rsa AAAAB3NzaC1yc2EddddBAQDAUvIWgBHxszilFFjKoAuHwSioRcvYTXPdm5o1kNlkb0P+hfu8IuQhzGUUqYOXAFk7d+PKF4FUVijYF52Mw2N/jG12SvzAKbJpAfXFYX3Y4Dpaq0wqEBnj4c2nXhySv3vfOOev+Cq0AYj8mvt0F0JPfQC5Qml4OfQDfH73p4ml2o83vVrlJVF9M6wUK7uRVGC8U2qTc9gddddddVT/Yy8dmx1sgdJxhkjVvNa60X29OsNw4s3jH5UIo5fIn/r1Up0Li+CkdLHGzLJWCiTe3vcZPLEEs4QCdddXuiC42LtVygoiUUVx test01" manage_dir: false # 移除公钥时无需管理.ssh目录(避免误改目录权限)3.更换公钥场景,可通过先添加新的,在移除老的,具体如下
--- - name: 更新root用户的SSH公钥(先加新再删旧) hosts: 目标组名 # 替换为你的节点组 become: yes gather_facts: false vars: # 定义旧公钥(要移除的)和新公钥(要添加的) old_ssh_key: "ssh-rsa AAAAB3NzaC1ycdddddAAABAQDAUvIWgBHxszilFFjKoAuHwSioRcvYTXPdm5o1kNlkb0P+hfu8IuQhzGUUqYOXAFk7d+PKF4FUVijYF52Mw2N/jG12SvzAKbJpAfXFYX3Y4Dpaq0wqvL8i8l0EBnj4c2nXhySv3vfOOev+Cq0AYj8mvt0F0JPfQC5Qml4OfQDfH73p4mdddd9M6wUK7uRVGC8U2qTc9gYFdrRuySyZodBVT/Yy8dmx1sgdJxhkjVvNa60X29OsNw4s3jH5UIo5fIn/r1Up0Li+CkdLHGzLJWCiTe3vcZPLEEs4QCheZMBE6siuim7nXuiC42LtVyddddfff test01" new_ssh_key: "{{ lookup('file', '/root/.ssh/new_id_rsa.pub') }}" # 读取控制节点的新公钥文件 tasks: - name: 第一步:添加新公钥 ansible.builtin.authorized_key: user: root state: present key: "{{ new_ssh_key }}" manage_dir: true # 自动创建/修复.ssh目录权限 exclusive: false # 保留其他已存在的公钥 - name: 第二步:移除旧公钥 ansible.builtin.authorized_key: user: root state: absent key: "{{ old_ssh_key }}" manage_dir: false # 移除时无需管理目录4.节点组的公钥状态,看是否添加或者删除
--- - name: 批量验证SSH公钥更新结果 hosts: jenkins # 替换为你的目标节点组 become: yes gather_facts: false vars: # 配置需要验证的关键信息 old_ssh_key_comment: "test01" # 旧公钥的注释(用于快速检索) new_ssh_key: "{{ lookup('file', '/root/.ssh/new_id_rsa.pub') }}" # 新公钥内容 new_ssh_key_fingerprint: "{{ new_ssh_key | regex_replace('ssh-rsa (.*) .*', '\\1') | hash('sha256') | regex_replace('^', 'SHA256:') }}" # 自动生成新公钥指纹 tasks: - name: 步骤1:检查旧公钥是否已移除 ansible.builtin.shell: | grep -q "{{ old_ssh_key_comment }}" /root/.ssh/authorized_keys && echo "旧公钥未移除" || echo "旧公钥已移除" register: old_key_check changed_when: false # 标记为非变更操作 - name: 步骤2:检查新公钥是否已添加 ansible.builtin.shell: | grep -q "{{ new_ssh_key }}" /root/.ssh/authorized_keys && echo "新公钥已添加" || echo "新公钥未添加" register: new_key_check changed_when: false - name: 步骤3:验证.ssh目录和文件权限(SSH强制要求) ansible.builtin.stat: path: "{{ item.path }}" get_checksum: false register: file_perm_check loop: - { path: "/root/.ssh", mode: "0700" } - { path: "/root/.ssh/authorized_keys", mode: "0600" } - name: 输出验证结果(汇总) ansible.builtin.debug: msg: | 节点 {{ inventory_hostname }} 验证结果: 1. 旧公钥状态:{{ old_key_check.stdout }} 2. 新公钥状态:{{ new_key_check.stdout }} 3. .ssh目录权限:{{ file_perm_check.results[0].stat.mode }} (预期:0700) 4. authorized_keys权限:{{ file_perm_check.results[1].stat.mode }} (预期:0600) 5. 新公钥指纹:{{ new_ssh_key_fingerprint }}
