Sử dụng Puppet để xóa các khóa SSH không được phép rõ ràng

Tôi đang sử dụng con rối để phân phối các khóa SSH, như vậy:

ssh_authorized_key { "alice@foo.com":
   ensure => present,
   key => 'xxxx',
   type => 'ssh-rsa',
   user => 'deploy',
}

Tệp ~ / .ssh / ủy quyền_key kết thúc có chứa một hỗn hợp các khóa từ nhiều lớp, đó là kết quả mong muốn. Tuy nhiên, nếu một khóa được thêm thủ công vào $ HOME / .ssh / ủy quyền, thì Puppet sẽ giữ nguyên vị trí. Có cách nào để luôn loại bỏ bất kỳ khóa nào chưa được xác định rõ ràng trong một bảng kê khai không?

Tôi có phiên bản con rối 2.7.1.

Bắt đầu với Puppet 3.6, giờ đây có thể xóa các khóa được ủy quyền SSH không được quản lý thông qua userloại. Ví dụ,

user { 'nick':
  ensure         => present,
  purge_ssh_keys => true,
}

Thay vì sử dụng ssh_authorized_keytài nguyên, tôi quyết định xác định một authorized_keystài nguyên, trong đó có một danh sách tất cả các khóa SSH cho một người dùng. Định nghĩa trông như thế này:

define authorized_keys ($sshkeys, $ensure = "present", $home = '') {
    # This line allows default homedir based on $title variable.
    # If $home is empty, the default is used.
    $homedir = $home ? {'' => "/home/${title}", default => $home}
    file {
        "${homedir}/.ssh":
            ensure  => "directory",
            owner   => $title,
            group   => $title,
            mode    => 700,
            require => User[$title];
        "${homedir}/.ssh/authorized_keys":
            ensure  => $ensure,
            owner   => $ensure ? {'present' => $title, default => undef },
            group   => $ensure ? {'present' => $title, default => undef },
            mode    => 600,
            require => File["${homedir}/.ssh"],
            content => template("authorized_keys.erb");
    }
}

$ssh_keystham số lấy tất cả các khóa cần thiết làm danh sách. Các authorized_keys.erbmẫu trông như thế này:

# NOTICE: This file is autogenerated by Puppet and should not be modified
<% sshkeys.each do |key| -%>
<%= key %>
<% end -%>

Sử dụng

user {'mikko':
    ...
}
authorized_keys {'mikko':
    sshkeys => [
        'ssh-rsa XXXXXXYYYYYYYYYZZZZZZZZZ mikko@domain.tld',
        'ssh-rsa XXXXXXZZZZZZZZZHHHHHHHHH mikko@other-host.tld',
    ],
}

Thêm khóa SSH một cách có điều kiện (ví dụ trong các lớp khác nhau) cũng dễ dàng, nhờ +>toán tử của Puppet :

Authorized_keys <| title == 'mikko' |> {
    sshkeys +> 'ssh-rsa ASDFASDFASDFASDF mikko@somewhere-else.tld'
}

Với phương pháp này, người dùng sẽ không bao giờ có các khóa không được chỉ định rõ ràng trong cấu hình Con rối. Chuỗi khóa được sử dụng trong ủy quyền như chính nó, vì vậy việc thêm các tùy chọn và hạn chế là không đáng kể.

Tôi sẽ rất vui khi biết người khác đã sử dụng phương pháp này thành công!

Bạn sẽ có thể làm điều này bằng cách sử dụng siêu dữ liệu tài nguyên . VÍ DỤ

resources { 'ssh_authorized_key': noop => true, purge => true, }

Cài đặt noop => true,ngăn chặn việc loại bỏ diễn ra. Thay vào đó, con rối sẽ báo cáo những gì sẽ được gỡ bỏ. Nếu đó là những gì bạn muốn, loại bỏ tuyên bố noop .

Cú pháp lý tưởng để thực hiện các hoạt động trên các tài nguyên không được quản lý đang được thảo luận .

EDIT: Như đã đề cập trong các ý kiến, câu trả lời này không hoạt động.

Trên Puppet Forge, một mô-đun đã được xuất bản theo Giấy phép Apache, Phiên bản 2.0 cung cấp khả năng này.

Nó dựa vào Puppet concat thay vì các mẫu.

https://github.com/nightfly19/puppet-ssh_keys/tree/master/manifests

Thay vì chuyển một mảng các khóa làm tham số, bạn xác định các mục riêng cho từng khóa.

Cách tiếp cận khác với Mikko, nhưng kết quả ròng giống nhau.