L'utilisation de Puppet pour supprimer les clés SSH n'est pas explicitement autorisée

J'utilise marionnette pour distribuer des clés SSH, comme ceci:

ssh_authorized_key { "alice@foo.com":
   ensure => present,
   key => 'xxxx',
   type => 'ssh-rsa',
   user => 'deploy',
}

Le fichier ~ / .ssh / authorized_keys finit par contenir un mélange de clés de plusieurs classes, ce qui est le résultat souhaité. Cependant, si une clé est ajoutée manuellement à $ HOME / .ssh / authorized_keys, Puppet la laissera en place. Existe-t-il un moyen de toujours supprimer une clé qui n'a pas été explicitement définie dans un manifeste?

J'ai la version 2.7.1 de marionnettes.

Depuis Puppet 3.6, il est désormais possible de purger les clés autorisées SSH non gérées via le usertype. Par exemple,

user { 'nick':
  ensure         => present,
  purge_ssh_keys => true,
}

Au lieu d'utiliser des ssh_authorized_keyressources, j'ai décidé de définir une authorized_keysressource, qui prend une liste de toutes les clés SSH pour un seul utilisateur. La définition ressemble à ceci:

define authorized_keys ($sshkeys, $ensure = "present", $home = '') {
    # This line allows default homedir based on $title variable.
    # If $home is empty, the default is used.
    $homedir = $home ? {'' => "/home/${title}", default => $home}
    file {
        "${homedir}/.ssh":
            ensure  => "directory",
            owner   => $title,
            group   => $title,
            mode    => 700,
            require => User[$title];
        "${homedir}/.ssh/authorized_keys":
            ensure  => $ensure,
            owner   => $ensure ? {'present' => $title, default => undef },
            group   => $ensure ? {'present' => $title, default => undef },
            mode    => 600,
            require => File["${homedir}/.ssh"],
            content => template("authorized_keys.erb");
    }
}

$ssh_keysLe paramètre prend toutes les clés nécessaires sous forme de liste. Le authorized_keys.erbmodèle ressemble à ceci:

# NOTICE: This file is autogenerated by Puppet and should not be modified
<% sshkeys.each do |key| -%>
<%= key %>
<% end -%>

Usage

user {'mikko':
    ...
}
authorized_keys {'mikko':
    sshkeys => [
        'ssh-rsa XXXXXXYYYYYYYYYZZZZZZZZZ mikko@domain.tld',
        'ssh-rsa XXXXXXZZZZZZZZZHHHHHHHHH mikko@other-host.tld',
    ],
}

L'ajout conditionnel de clés SSH (par exemple dans différentes classes) est également facile, grâce à l' +>opérateur de Puppet :

Authorized_keys <| title == 'mikko' |> {
    sshkeys +> 'ssh-rsa ASDFASDFASDFASDF mikko@somewhere-else.tld'
}

Avec cette méthode, l'utilisateur n'aura jamais de clés qui ne sont pas explicitement spécifiées dans la configuration Puppet. La chaîne de clé est utilisée dans authorized_keys telle quelle, l'ajout d'options et de restrictions est donc trivial.

Je serais heureux d'entendre si d'autres ont utilisé cette méthode avec succès!

Vous devriez pouvoir le faire en utilisant le métatype de ressources . PAR EXEMPLE

resources { 'ssh_authorized_key': noop => true, purge => true, }

Le réglage noop => true,empêche le retrait d'avoir lieu. Au lieu de cela, la marionnette signalera ce qui serait supprimé. Si c'est ce que vous voulez, supprimez l' instruction noop .

La syntaxe idéale pour effectuer des opérations sur des ressources non gérées est en cours de discussion .

EDIT: Comme mentionné dans les commentaires, cette réponse ne fonctionne pas.

Sur Puppet Forge, un module a été publié sous la licence Apache, version 2.0 qui offre cette capacité.

Il s'appuie cependant sur Puppet concat au lieu de modèles.

https://github.com/nightfly19/puppet-ssh_keys/tree/master/manifests

Au lieu de passer un tableau de clés en tant que paramètre, vous définissez des entrées distinctes pour chaque clé.

Approche différente de celle de Mikko, mais même résultat net.