ansible 一键修改服务器密码脚本

脚本安装

1. 执行安装脚本setup.sh 安装ansible和yq命令

#!/bin/bash

# 安装ansible
yum install ansible-2.9.27-1.el7.noarch.rpm -y

# 安装yq
cp -a yq /usr/local/bin/

注： yq是解析yaml工具

2. 配置inithost,第一次连接服务器的用户名和密码 例：

hosts:
  #192.168.40.36:
  #  ansible_user: root
  #  ansible_password: 123456
  #192.168.40.37:
  #  ansible_user: root
  #  ansible_password: 123456

3. 配置ansible hosts文件 例：

#[test]
#192.168.40.36
#
#[test1]
#192.168.40.37

4.生成初始连接凭据

bash ./inithost.sh

注：初始文件生成后，可以删除inithost以保证安全

常见操作

1. 修改单个服务器密码

ansible-playbook -i hosts --vault-password-file=.vault_pass -e "target_hosts=192.168.40.36 user=root password=123456" changepasswd.yaml

2. 修改ansible组密码

ansible-playbook -i hosts --vault-password-file=.vault_pass -e "target_hosts=test user=root password=123456" changepasswd.yaml

3. 修改hosts文件里所有服务器的密码

ansible-playbook -i hosts --vault-password-file=.vault_pass -e "target_hosts=all user=root password=123456" changepasswd.yaml

4. 修改其他用户密码

ansible-playbook -i hosts --vault-password-file=.vault_pass -e "target_hosts=192.168.40.36 user=test password=123456" changepasswd.yaml

• 提示: 在执行上述操作前，需要确保服务器上已存在对应的用户。

常见的问题

如果遇到以下错误信息："Using a SSH password instead of a key is not possible because Host Key checking is enabled and sshpass does not support this. Please add this host's fingerprint to your known_hosts file to manage this host."
解决方法：先使用ssh连接目标主机，获取主机的key。 附录1： inithost.sh脚本

#!/bin/bash

# 获取从命令行传入的第一个参数作为vault_password
vault_password="3d$R7#X9"

# 创建connect目录，如果它还不存在
mkdir -p connect

# 读取主机名列表
hosts=$(yq e '.hosts | keys' inithost.yaml | sed 's/- //')

# 遍历每个主机名
for host in $hosts; do
  # 检查主机名是否为空
  if [ -z "$host" ]; then
    continue
  fi

  # 删除引号，以便获取干净的主机名
  host=${host//\"/}
  # 从yaml文件中读取ansible_user和ansible_password
  user=$(yq e .hosts.\"$host\".ansible_user inithost.yaml)
  password=$(yq e .hosts.\"$host\".ansible_password inithost.yaml)

  # 检查用户名和密码是否为空
  if [ -z "$user" ] || [ -z "$password" ]; then
    continue
  fi

  # 删除引号，以便获取干净的用户名和密码
  user=${user//\"/}
  password=${password//\"/}

  # 创建新的yaml文件，文件名为IP地址，并写入ansible_user和ansible_password
  # 新文件将在connect目录下创建
  echo "ansible_user: $user" > connect/$host.yaml
  echo "ansible_password: $password" >> connect/$host.yaml

  # 创建秘密文件
  echo "$vault_password" > .vault_pass
  # 使用ansible vault对文件进行加密，使用传入的vault_password作为密码
  echo $vault_password | ansible-vault encrypt connect/$host.yaml --vault-password-file=.vault_pass
  # rm -fr .vault_pass
done

附录2：changepasswd.yaml的playbook

- hosts: "{{ target_hosts }}"
  vars_files:
    - "connect/{{ inventory_hostname }}.yaml"
  tasks:
    - name: debug
      debug:
        msg: "connect/{{ inventory_hostname }}.yaml"

    - name: 修改服务器密码
      user:
        name: "{{ user }}"
        password: "{{ password | password_hash('sha512') }}"
      become: yes
      become_user: "{{ ansible_user }}"

    - name: 修改ansible连接root密码文件
      local_action:
        module: script
        args: ansible_rootpasswd_change.sh connect/{{ inventory_hostname }}.yaml {{ password }}
      when: user == 'root'

附录3 修改root密码的脚本

#!/bin/bash

# 定义你的 vault 密码
#vault_password=$1
# 定义 inventory_hostname
vault_file=$1
# 定义新的 ansible_password
new_ansible_password=$2

# 定义 vault 文件路径
#vault_file="${vault_file_path}"

# 创建一个临时文件
temp_file=$(mktemp)

# 使用 ansible-vault 解密 vault 文件并将内容写入临时文件
#echo $vault_password | ansible-vault decrypt $vault_file --output $temp_file
ansible-vault decrypt $vault_file --output $temp_file --vault-password-file=.vault_pass

# 修改 ansible_password
yq eval ".ansible_password = \"$new_ansible_password\"" $temp_file

# 使用 ansible-vault 重新加密临时文件并覆盖原来的 vault 文件
#echo $vault_password | ansible-vault encrypt $temp_file --output $vault_file
ansible-vault encrypt $temp_file --output $vault_file --vault-password-file=.vault_pass

# 删除临时文件
rm $temp_file