Utilizzo di Puppet per rimuovere le chiavi SSH non esplicitamente consentite

Sto usando le marionette per distribuire le chiavi SSH, in questo modo:

ssh_authorized_key { "alice@foo.com":
   ensure => present,
   key => 'xxxx',
   type => 'ssh-rsa',
   user => 'deploy',
}

Il file ~ / .ssh / authorized_keys finisce per contenere una combinazione di chiavi di più classi, che è il risultato desiderato. Tuttavia, se una chiave viene aggiunta manualmente a $ HOME / .ssh / authorized_keys, Puppet la lascerà in posizione. C'è un modo per rimuovere sempre qualsiasi chiave che non è stata definita in modo esplicito in un manifest?

Ho la versione fantoccio 2.7.1.

A partire da Puppet 3.6 è ora possibile eliminare le chiavi autorizzate SSH non gestite tramite il usertipo. Per esempio,

user { 'nick':
  ensure         => present,
  purge_ssh_keys => true,
}

Invece di utilizzare le ssh_authorized_keyrisorse, ho deciso di definire una authorized_keysrisorsa, che accetta un elenco di tutte le chiavi SSH per un singolo utente. La definizione si presenta così:

define authorized_keys ($sshkeys, $ensure = "present", $home = '') {
    # This line allows default homedir based on $title variable.
    # If $home is empty, the default is used.
    $homedir = $home ? {'' => "/home/${title}", default => $home}
    file {
        "${homedir}/.ssh":
            ensure  => "directory",
            owner   => $title,
            group   => $title,
            mode    => 700,
            require => User[$title];
        "${homedir}/.ssh/authorized_keys":
            ensure  => $ensure,
            owner   => $ensure ? {'present' => $title, default => undef },
            group   => $ensure ? {'present' => $title, default => undef },
            mode    => 600,
            require => File["${homedir}/.ssh"],
            content => template("authorized_keys.erb");
    }
}

$ssh_keysIl parametro accetta tutte le chiavi necessarie come elenco. Il authorized_keys.erbmodello è simile al seguente:

# NOTICE: This file is autogenerated by Puppet and should not be modified
<% sshkeys.each do |key| -%>
<%= key %>
<% end -%>

uso

user {'mikko':
    ...
}
authorized_keys {'mikko':
    sshkeys => [
        'ssh-rsa XXXXXXYYYYYYYYYZZZZZZZZZ mikko@domain.tld',
        'ssh-rsa XXXXXXZZZZZZZZZHHHHHHHHH mikko@other-host.tld',
    ],
}

L'aggiunta di chiavi SSH in modo condizionale (ad esempio in diverse classi) è anche facile, grazie all'operatore Puppet +>:

Authorized_keys <| title == 'mikko' |> {
    sshkeys +> 'ssh-rsa ASDFASDFASDFASDF mikko@somewhere-else.tld'
}

Con questo metodo, l'utente non avrà mai chiavi che non sono esplicitamente specificate nella configurazione Puppet. La stringa di chiavi viene utilizzata in authorized_keys così com'è, quindi aggiungere opzioni e restrizioni è banale.

Sarei felice di sapere se altri hanno usato con successo questo metodo!

Dovresti essere in grado di farlo utilizzando il metatipo di risorse . PER ESEMPIO

resources { 'ssh_authorized_key': noop => true, purge => true, }

L'impostazione noop => true,impedisce la rimozione. Invece, fantoccio segnalerà cosa verrebbe rimosso. Se è quello che vuoi, rimuovi l' istruzione noop .

È in discussione la sintassi ideale per eseguire operazioni su risorse non gestite .

EDIT: come menzionato nei commenti, questa risposta non funziona.

Su Puppet Forge è stato pubblicato un modulo con licenza Apache, versione 2.0 che offre questa funzionalità.

Si basa su Puppet concat invece che su template.

https://github.com/nightfly19/puppet-ssh_keys/tree/master/manifests

Invece di passare una matrice di chiavi come parametro, si definiscono voci separate per ogni chiave.

Approccio diverso da quello di Mikko, ma stesso risultato netto.