DevOps

Sécuriser l’escalade des privilèges avec Ansible

L'Équipe Alphorm Par L'Équipe Alphorm

La gestion des privilèges dans les systèmes informatiques est un défi majeur.

Une mauvaise configuration peut entraîner des failles de sécurité critiques.

Cet article explore comment Ansible utilise des paramètres comme become pour sécuriser l’escalade des privilèges.

Table de matière
Gérer les privilègesFAQConclusion

Formation Ansible : Le Guide Complet du Débutant

Devenez un expert d'Ansible et simplifiez vos tâches d'administration.

Découvrir cette formation

Gérer les privilèges

L’escalade des privilèges permet à un utilisateur ou à un processus d’acquérir des permissions supplémentaires, telles que celles de l’utilisateur root, pour effectuer des tâches spécifiques nécessitant des droits élevés. C’est un processus crucial en administration système pour assurer la sécurité et la gestion efficace des systèmes informatiques.

  • Le mot clé become :Le mot-clé become est défini sur yes pour permettre l’escalade des privilèges afin d’assurer que le service httpd est démarré. Voici un exemple : 
				
					
 - name: Assurer que le service httpd est démarré
service:
name: httpd
state: started
become: yes

Cela permet à Ansible d’exécuter cette tâche avec les privilèges nécessaires, souvent en utilisant sudo , pour garantir que le service httpd est opérationnel sur l’hôte cible.

  • Le mot become_user :Le paramètrebecome_userest configuré pour exécuter une commande en tant qu’utilisateur Apache avec les privilèges requis : 
				
					
 - name : Exécuter une commande en tant qu’utilisateur Apache
command: somecommand
become: yes
become_user: apache

Cela permet à Ansible d’élever les privilèges et d’exécuter somecommand en tant qu’utilisateur apache, assurant ainsi que la commande est exécutée avec les autorisations appropriées sur l’hôte cible.

  • Le mot become_method :Le paramètrebecome_methodremplace la méthode par défaut définie dansansible.cfget permet d’exécuter une commande en tant qu’utilisateurnobody: 
				
					
 - name: Exécuter une commande en tant que nobody
command: somecommand
become: yes
become_method: su
become_user: nobody

Cela configure Ansible pour utiliser la méthode su afin d’élever les privilèges et d’exécuter somecommand avec l’utilisateur nobody sur l’hôte cible.

  • Le mot remote_user :Le paramètreremote_userspécifie le nom d’utilisateur utilisé pour la connexion SSH : 
				
					
 - name: Mon Play
hosts: all
remote_user: admin
tasks:
- name: Assurer la présence de httpd
yum:
name: httpd
state: present
become: true
become_user: webuser

Cela définit Ansible pour se connecter à tous les hôtes avec l’utilisateur admin via SSH . Ensuite, il assure que le paquet httpd est présent en utilisant yum , en s’élevant avec les privilèges de webuser lorsque nécessaire.

Voici les fonctionnalités que le mot-clé become fournit dans Ansible. Cependant, il présente des limites et des risques :

  • Il permet l’exécution d’actions en tant qu’utilisateur non privilégié, ce qui restreint les opérations possibles.
  • Il peut limiter l’accès au fichier de module selon les permissions de l’utilisateur que Ansible doit devenir.

Pour bien comprendre cette fonctionnalité du mot clé become, passons maintenant dans le cas pratique en dvelopper quelques exemples des playbook avec ce mot clé.

Comme premier exemple, noous allons executer le playbook suivant en le mettant dans le fichier become-playbook.yml : 

				
					
 - hosts: servers
tasks:
- name: Install apache
apt:
name: apache2
state: present
become: true

Pour l’exécuter, nous allons utiliser la commande : ansible-playbook -v become-playbook.yml . Habituellement, nous ajouterions — become à la fin de la commande, mais comme nous avons déjà spécifié become: true dans le playbook , celui-ci s’exécutera automatiquement avec les privilèges nécessaires et nous fournira le résultat comme suit :

Capture de l'exécution d'un playbook Ansible

Nous allons approfondir en modifiant le playbook pour inclure un remote_user et une tâche que cet utilisateur ne pourrait normalement pas exécuter. Voici le playbook modifié : 

				
					
 - hosts: servers
remote_user : ubuntu
tasks:
- name: Install apache
apt:
name: apache2
state: present
become: true
become_user: ubuntu
- name: display apache version
command: /user/sbin/apache2 -v
bacome_user: nobody

Ce playbook ne pourra pas exécuter la deuxième tâche display apache version car l’utilisateur become_user: nobody n’est pas autorisé à le faire. Copions-le dans le fichier become_user-playbook. yml et exécuter pour voir le résultat.

Erreur d'escalade de privilèges Ansible

Parfait, la tâche n’a pas été exécutée car l’utilisateur become_user: nobody n’est pas autorisé. Pour corriger cela, il suffit de remplacer become_user: nobody par become_user: ubuntu , ce qui devrait résoudre le problème comme ceci :

Playbook Ansible installant Apache sur noeudG

Formez-vous gratuitement avec Alphorm !

Maîtrisez les compétences clés en IT grâce à nos formations gratuites et accélérez votre carrière dès aujourd'hui.

Démarrer gratuitement
illustration processus de paiement en ligne avec étapes claires et convivialité

FAQ

Comment fonctionne l'escalade des privilèges dans Ansible ?
L’escalade des privilèges dans Ansible permet à un utilisateur ou un processus d’acquérir des permissions supplémentaires pour exécuter des tâches nécessitant des droits élevés. En utilisant des paramètres tels que become et become_user, Ansible s’assure que les tâches sont exécutées avec les privilèges nécessaires, souvent en utilisant sudo, assurant ainsi la sécurité et l’efficacité de la gestion des systèmes informatiques.
Le mot-clé become dans Ansible est utilisé pour permettre l’escalade des privilèges, garantissant ainsi que les services ou commandes critiques, tels que le démarrage du service httpd, sont exécutés avec les autorisations nécessaires. En définissant become sur yes, Ansible peut exécuter des tâches avec des privilèges élevés, souvent en recourant à sudo, pour maintenir la sécurité et le bon fonctionnement des systèmes.
Bien que le mot-clé become dans Ansible soit puissant, il a ses limites. Par exemple, il peut restreindre l’exécution d’actions en tant qu’utilisateur non privilégié, limitant ainsi les opérations possibles. De plus, l’accès aux fichiers de module peut être limité selon les permissions de l’utilisateur qu’Ansible doit devenir, ce qui nécessite une planification minutieuse de l’escalade des privilèges pour éviter les interruptions.
Pour exécuter des commandes avec become_user dans Ansible, vous devez spécifier le paramètre become_user pour définir l’utilisateur sous lequel la commande doit être exécutée. Par exemple, en configurant become_user: apache, Ansible peut exécuter des commandes avec les permissions de l’utilisateur apache, garantissant que les tâches sont effectuées avec les autorisations appropriées pour l’hôte cible.
Pour corriger les erreurs d’exécution avec become_user, il est essentiel de s’assurer que l’utilisateur spécifié dans become_user a les permissions nécessaires pour exécuter la commande. Par exemple, si become_user: nobody empêche l’exécution d’une tâche, remplacer nobody par un utilisateur approprié tel que ubuntu peut résoudre le problème, en permettant l’exécution avec les privilèges nécessaires.

Conclusion

L’utilisation appropriée de l’escalade des privilèges dans Ansible est cruciale pour la sécurité des systèmes. Quelles autres stratégies utilisez-vous pour renforcer la sécurité des privilèges dans vos configurations Ansible?

ÉTIQUETÉ : Ansible
Facebook
Twitter
LinkedIn
Email
WhatsApp
Par L'Équipe Alphorm
Démocratiser la Connaissance Informatique pour Tous !
Suivre :
L'Équipe Alphorm, c'est la démocratisation de la connaissance informatique. Passionnés et dévoués, nous sommes là pour vous guider vers le succès en rendant la technologie accessible à tous. Rejoignez notre aventure d'apprentissage et de partage. Avec nous, le savoir IT devient une ressource inspirante et ouverte à tous dans un monde numérique en constante évolution.

Derniers Articles

Laisser un commentaire