Ansible 2.1.0 utilizzando diventa/diventa_user non riesce a impostare le autorizzazioni sul file temporaneo

Question

Ho un ansible 2.1.0 sul mio server, dove eseguo la distribuzione tramite vagabondo e anche su PC. Il ruolo "distribuire" hanno:

- name: upload code 
    become: true 
    become_user: www-data 
    git: repo=git@bitbucket.org:****.git 
    dest=/var/www/main 
    key_file=/var/www/.ssh/id_rsa 
    accept_hostkey=true 
    update=yes 
    force=yes 
register: fresh_code 
notify: restart php-fpm 
tags: fresh_code 

in questo caso con ansible 2.1.0 ottengo un errore:

fatal: [default]: FAILED! => {"failed": true, "msg": "Failed to set permissions on the temporary files Ansible needs to create when becoming an unprivileged user. For information on working around this, see https://docs.ansible.com/ansible/become.html#becoming-an-unprivileged-user"} 

Si è ansible 2.0.1.0 che uso sul mio PC, è tutto normalmente - cartella/var/www/have cartella principale con proprietario e gruppo www-data

Se utilizzo solo diventato_user: www-data e se uso diventato_method: sudo con diventato_user: www-data - ho ricevuto lo stesso errore

Che cosa è necessario fare per risolvere questo problema?

Answer 1

Il problema è che www-data non può accedere agli stessi file dell'utente predefinito non root ansable creato che si utilizza per connettersi alla macchina. Anche il messaggio di errore indica chiaramente ansible's documentation che descrive quali opzioni è necessario risolvere questo problema durante l'aggiornamento da 2.0 ansible o inferiore.

Essi suggeriscono tre modi per risolvere correttamente il problema:

• Use pipelining. When pipelining is enabled, Ansible doesn’t save the module to a temporary file on the client. Instead it pipes the module to the remote python interpreter’s stdin. Pipelining does not work for non-python modules.
• Install filesystem acl support on the managed host. If the temporary directory on the remote host is mounted with filesystem acls enabled and the setfacl tool is in the remote PATH then Ansible will use filesystem acls to share the module file with the second unprivileged instead of having to make the file readable by everyone.
• Don’t perform an action on the remote machine by becoming an unprivileged user. Temporary files are protected by UNIX file permissions when you become root or do not use become. In Ansible 2.1 and above, UNIX file permissions are also secure if you make the connection to the managed machine as root and then use become to an unprivileged account.

Oppure, se non si può fare nessuna di queste correzioni, allora è possibile forzare ansible per l'esecuzione in un po 'modo più insicuro (che sembrava essere il predefinito in ansible 2 e al di sotto), che dovrebbe anche risolvere il problema, ma non sarebbe risolvere il rischio per la sicurezza sottostante:

If you can’t make any of the changes above to resolve the problem and you decide that the machine you’re running on is secure enough for the modules you want to run there to be world readable you can turn on allow_world_readable_tmpfiles in the ansible.cfg file. Setting allow_world_readable_tmpfiles will change this from an error into a warning and allow the task to run as it did prior to 2.1.

Answer 2

su Debian/Ubuntu è possibile risolvere questo installando prima il pacchetto acl sulla macchina remota, come con questo compito impossibile:

- name: install setfacl support 
    become: yes 
    apt: pkg=acl 

Stessa cosa con RedHat/CentOS - installare il pacchetto acl sulla macchina remota:

- name: install setfacl support 
    become: yes 
    yum: name=acl